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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 目 然 科学 的 
各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 非 出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 璧 
划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ,我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 
发展 的 几 十 年 间 积淀 和 发 展 的 经 典 教 材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计 
算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 
、 的 世界 一 流 大 学 的 必由之路 。 
机 械 工业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 " 。 自 1998 年 开始 ， 我 们 
就 将 工作 重点 放 在 了 遵 选 、 移 译 国 外 优秀 教材 Lb. AS FARE A, RIJS Pearson, 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良 
好 的 合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, 
Brain W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. 
Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry L. 
Peterson 等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 
究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 和 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 不 仅 提 供 了 
中 肯 的 选 题 指导 ， 还 不 酬劳 董 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 
在 中 国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 
两 百 个 品种 ， 这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采用 为 正式 教材 和 参考 书 
籍 。 其 影印 版 “经 典 原 版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 
的 图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 善 和 教材 改 羊 的 逐渐 
深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 入 一 个 新 的 阶段 ， 我 们 的 目标 是 尽 善 尽 
美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公司 欢迎 老师 和 读者 对 我 们 
的 工作 提出 建议 或 给 予 指正 ,我 们 的 联系 方法 如 下 : 


华章 网 站 : www.hzbook.com 

电子 邮件 : hzjsj@hzbook.com 

联系 电话 : (010) 88379604 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 
邮政 编码 : 100037 华章 科技 图 书 出 版 中 心 
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很 节 幸 能 从 北京 理工 大 学 程 成 老师 手中 接 过 本 书 的 翻译 任务 。 程 成 老师 从 第 6 版 开始 承 
担 本 书 的 翻译 任务 ， 直 至 第 9 版 ， 为 我 们 这 次 第 10 版 的 翻译 打下 了 良好 的 基础 。 

作为 一 本 经 典 的 软件 工程 教材 ， 本 书 的 内 容 非 常 全 面 。 其 中 ， 第 一 部 分 覆盖 了 基本 的 软 
件 开发 生命 周期 ， 可 以 作为 本 科 软 件 工程 课程 教学 的 基本 内 容 。 第 二 部 分 针对 高 可 信和 软件 系 
统 对 于 可 依赖 性 和 信息 安全 的 高 要 求 ， 介 绍 了 相应 的 软件 工程 方法 和 技术 ， 体 现 了 软件 工程 
Ta 第 三 和 第 四 部 分 则 分 别针 对 软件 工程 中 的 一 些 高 
级 技术 问题 和 开发 管理 问题 进行 了 介绍 。 后 三 个 部 分 的 内 容 为 面 癌 高 年 级 本 科 生 和 研究 生 的 
te ae eet aie, Cee eee 
供 了 教学 内 容 。 

难能可贵 的 是 ， 本 书 每 一 次 改版 都 能 根据 软件 工程 方法 、 技 术 及 产业 实践 的 最 新 发 展 更 
新 并 调整 相关 内 容 。 本 版 在 第 9 版 的 基础 上 ， 更 新 了 关于 敏捷 软件 工程 的 相关 内 容 ， 增 加 了 
RESTful 服务 、 系 统 之 系统 等 反映 软件 开发 技术 和 复杂 系统 发 展 趋势 的 新 内 容 ， 重 新 组 织 了 
与 高 可 信和 软件 系统 密切 相关 的 多 个 章节 ， 同 时 将 面向 方面 的 软件 工程 以 及 过 程 改 进 等 不 太 重 
要 的 章节 移 到 了 网 站 上 。 

本 书 系统 反映 了 工程 化 软件 开发 所 具有 的 严谨 性 和 规范 性 ， 但 同时 并 不 教条 。 例 如 ， 虽 
然 系 统 性 地 介绍 了 UML 建 模 方法 ， 但 在 谈 到 UML 在 软件 设计 过 程 中 的 作用 时 ， 作 者 指出 
非 正 式 的 表示 法 在 软件 设计 过 程 中 可 能 更 有 用 。 因 此 ， 我 们 在 学 习 本 书 所 介绍 的 软件 工程 方 
法 和 规范 的 同时 ， 也 不 要 忘 了 与 软件 开发 实践 相 结 合 ， 在 做 中 学 ， 在 实践 中 领会 。 

本 书 主要 由 豆包、 赵 文 磋 翻译 。 参 与 本 书 翻译 工作 的 还 有 复旦 大 学 计算 机 科学 技术 学 院 
研究 生 刘 汶 涨 、 周 翔 、 姜 清洲、 陈 驰 、 黄 凯 峰 和 等。 此外， 机械 工业 出 版 社 华章 公司 的 朱 动 、 
迟 振 春 两 位 编辑 还 认真 审 校 了 译 稿 ， 在 此 一 并 表示 感谢 。 

由 于 时 间 仓 促 以 及 译 者 目 身 知识 和 水 平 有 限 ， 译 稿 中 难免 存在 错误 和 遗 尘 ， 在 此 向 广大 
读者 表示 雪 意 ,向 请 批评 指正 ! 
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软件 工程 在 过 去 50 年 之 中 取得 了 令 人 瞩目 的 进展 。 我 们 的 社会 已 经 无 法 在 缺少 大 型 专 
业 化 软件 系统 的 情况 下 正常 运转 了 。 国 家 的 公用 事业 和 基础 设施 (如 能 源 、 通 信 、 交 通 ) 全 
都 依赖 于 复杂 且 可 靠 的 计算 机 系统 。 软 件 使 得 我 们 可 以 探索 空间 ， 创 造 万 维 网 这 一 人 类 历史 
上 最 重要 的 信息 系统 。 智 能 手机 和 平板 电脑 无 处 不 在 ， 而 为 这 些 设备 开发 软件 的 整个 “应 用 
开发 产业 ”已 经 在 过 去 几 年 中 悄然 形成 。 

人 类 现在 正面 临 着 一 系列 迫切 的 挑战 一 -气候 变化 和 极端 天 气 、 自 然 资源 的 减少 、 需 要 

为 更 多 的 人 口 提供 食物 和 住房 、 国 际 恐 怖 主义 的 威胁 ， 以 及 为 老年 人 提供 令 人 满意 的 生活 。 
我 们 需要 新 技术 来 帮助 我 们 应 对 这 些 挑战 ， 可 以 肯定 的 是 软件 将 在 这 些 技术 中 扮演 核心 角 
， 色 。 因 此 ， 软 件 工程 对 于 我 们 在 这 个 星球 上 的 未 来 极其 重要 。 我 们 必须 继续 培养 软件 工程 师 
_ 并 推动 软件 工程 学 科 的 持续 发 展 ， 从 而 满足 开发 更 多 的 软件 系统 以 及 创造 我 们 所 需要 的 越 来 
越 复杂 的 未 来 系统 的 需要 。 
”、” 当然， 软件 项 目 还 存在 很 多 问题 。 系 统 仍然 有 时 会 延迟 交付 并 且 成 本 超支 。 我 们 正在 创 
\ 造 越 来 越 复 杂 的 软件 系统 之 系统 (software systems of systems )， 在 这 条 道路 上 遇 到 各 种 困难 
也 是 不 足 为 奇 的 。 然 而 ,我 们 不 应 该 让 这 些 问 题 掩盖 软件 工程 领域 已 经 取得 的 巨大 成 就 ， 以 
及 所 形成 的 各 种 令 人 印象 深刻 的 软件 工程 方法 和 技术 。 

本 书 的 不 同 版 本 已 经 有 超过 30 年 的 历史 ， 而 这 一 版 同样 遵循 了 本 书 第 1 版 中 所 建立 的 
基本 原则 : 

1. 按照 工业 界 实践 介绍 软件 工程 ,不 对 任何 特定 的 方法 〈 例 如 敏捷 开发 、 形 式 化 方法 ) 
持 倾 癌 性 态度 。 在 现实 中 ， 工 业界 往往 将 各 种 技术 〈 例 如 敏捷 以 及 基于 计划 的 开发 ) 混合 在 
一 起 使 用 ， 这 一 点 也 在 本 书 中 有 所 反映 。 

2. 根据 我 所 知道 的 以 及 所 理解 的 知识 介绍 软件 工程 。 很 多 人 建议 我 增加 并 详细 介绍 其 他 
相关 话题 ， 例 如 开源 软件 开发 、UML 的 使 用 以 及 移动 软件 工程 等 ， 但 是 我 对 这 些 领域 的 了 
解 并 不 多 ， 我 个 人 的 工作 主要 是 在 系统 可 靠 性 和 系统 工程 方面 ， 这 一 点 在 我 为 本 书 所 选择 的 
高 级 专题 中 有 所 反映 。 

我 认为 现代 软件 工程 的 关键 问题 是 管理 复杂 性 ， 将 敏捷 和 其 他 方法 结合 起 来 ， 并 确保 我 
们 的 系统 安全 以 及 有 韧性 。 这 些 问 题 是 我 在 这 一 版 中 修改 和 新 增 内 容 的 主要 因素 。 


对 第 9 版 的 修改 

这 一 版 相 比 第 9 版 的 更 新 和 新 增 内 容 汇总 如 下 : 

。 全 面 更 新 了 关于 敏捷 软件 工程 的 章节 ， 增 加 了 关于 Scrum 的 新 内 容 。 此 外 还 根据 需 
要 对 其 他 章节 进行 了 更 新 ， 以 反映 敏捷 方法 在 软件 工程 中 日 益 增 长 的 应 用 。 

e 增加 了 关于 韧性 工程 、 系 统 工程 、 系 统 之 系统 的 新 章节 。 

o TORRE, RE. AEREN 3 章 进行 了 彻底 的 重新 组 织 。 

。 在 第 18 瘟 “ 面 向 服务 的 软件 工程 ”中 增加 了 关于 RESTful 服务 的 新 内 容 。 

。 更 新 和 修改 了 关于 配置 管理 的 章节 ， 增 加 了 关于 分 布 式 版 本 控制 系统 的 新 内 容 。 

e 将 关于 面向 方面 的 软件 工程 以 及 过 程 改 进 的 章节 移 到 了 本 书 的 配套 网 站 上 。 

o 在 网 站 上 新 增 了 补充 材料 ， 包 括 一 系列 支持 视频 。 我 在 视频 中 对 于 一 些 关 键 话题 进 
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行 了 解释 ， 并 且 推 荐 了 相关 的 YouTube 视频 。 

这 一 版 保留 了 此 前 版 本 中 的 四 部 分 结构 ， 但 我 对 其 中 每 个 部 分 都 进行 了 大 量 的 修改 。 

1. 在 第 一 部 分 软件 工程 导论 中 ,我 彻底 重 写 了 第 3 章 (敏捷 方法 ) 并 对 其 进行 了 更 新 ， 
以 反映 Scrum 方法 在 实践 中 日 益 增 长 的 使 用 。 第 1 章 增 加 了 一 个 关于 数字 化 学 习 环 境 的 案 
例 研 究 ， 这 个 案例 在 其 他 几 个 章节 中 也 会 用 到 。 第 9 章 更 加 详细 地 介绍 了 遗留 系统 。 这 一 部 
分 的 其 他 章节 也 都 进行 了 少量 的 修改 和 更 新 。 

2. 第 二 部 分 介绍 系统 可 依赖 性 。 这 一 部 分 进行 了 修改 和 重新 组 织 ， 不 再 按照 面向 活动 的 
方式 进行 组 织 ， 而 是 将 安全 、 信 息 安 全 、 可 靠 性 分 散在 多 个 章节 中 。 这 使 得 相关 内 容 (例如 
信息 安全 ) 可 以 更 加 方便 地 作为 独立 的 专题 在 更 加 综合 性 的 课程 中 使 用 。 我 增加 了 关于 韧性 
工程 的 一 章 ， 其 中 涉及 网 络 安全 、 组 织 韧 性 以 及 万 性 系统 设计 。 

3. 第 三 部 分 增加 了 关于 系统 工程 、 系 统 之 系统 的 新 章节 ， 并 对 与 面向 服务 的 系统 工程 相 
关 的 内 容 进 行 了 全 面 修改 ， 以 反映 RESTful 服务 的 使 用 日 益 增长 的 趋势 。 与 面向 方面 的 软件 
工程 相关 的 章节 移 到 了 本 书 的 配套 网 站 上 。 

4. 第 四 部 分 对 配置 管理 的 内 容 进 行 了 更 新 ， 以 反映 分 布 式 版 本 控制 工具 (如 Git) 的 使 
用 日 益 增 长 的 趋势 。 过 程 改 进 相 关 的 章节 移 到 了 本 书 的 配套 网 站 上 。 

本 书 补 充 材料 中 的 一 个 重要 变化 是 为 每 个 章节 增加 了 视频 推荐 。 我 制作 了 关于 一 系列 主 
题 的 40 多 段 视频 ， 放 在 我 的 YouTube 频道 上 并 可 从 本 书 的 网 页 上 链接 过 去 。 对 于 没有 制作 
视频 的 地 方 ， 我 推荐 了 一 些 可 能 有 用 的 YouTube 视频 。 

我 在 下 面 这 个 视频 中 解释 了 这 一 版 中 所 做 修改 背后 的 原因 。 


http://software-engineering-book/videos/10th-edition-changes 


读者 对 象 
本 书 主要 面 回 各 大 学 和 学 院 正 在 学 习 软 件 和 系统 工程 初 高 级 课程 的 学 生 。 我 假设 读者 对 
于 编程 基础 和 基本 数据 结构 都 已 有 所 理解 。 i 
工业 办 的 软件 工程 师 也 会 发 现 这 是 一 本 很 好 的 读物 ， 能 帮助 他 们 在 软件 复 用 、 体 系 结构 
设计 、 可 依赖 性 和 信息 安全 性 以 及 系统 工程 等 方面 获得 新 的 知识 。 
教学 建议 
针对 三 种 不 同类 型 的 软件 工程 课程 ， 我 对 本 书 进行 了 如 下 设计 : 
e 软件 工程 一 般 导论 课程 。 本 书 的 第 一 部 分 专门 用 于 一 个 学 期 的 软件 工程 导论 课程 。 
这 部 分 包括 9 Et, 涵盖 了 软件 工程 领域 的 基础 内 容 。 如 果 你 的 课程 中 包含 实践 性 教 
学 环节 ， 那 么 可 以 选 讲 第 四 部 分 中 关于 管理 的 章节 。 
o 软件 工程 特定 主题 的 导论 课程 或 进 阶 课程 。 通 过 使 用 本 书 第 二 ~ 四 部 分 的 内 容 ， 可 
以 创建 一 系列 更 高 级 的 课程 。 例 如 ， 我 采用 第 二 部 分 的 各 章 加 上 关于 系统 工程 和 质 
量 管理 的 两 章 来 讲授 以 关键 系统 为 主题 的 课程 。 而 对 于 讨论 软件 密集 型 系统 的 课程 ， 
我 选择 的 章节 涉及 系统 工程 、 需 求 工 程 、 系 统 之 系统 、 分 布 式 软件 工程 、 找 入 式 软 
件 、 项 目 管理 和 项 目 计划 。 
o 软件 工程 特定 主题 的 更 高 阶 课程 。 对 于 这 类 课程 ， 本 书 的 各 章 可 以 构成 课程 的 基础 ， 
然后 辅 之 以 更 多 的 阅读 以 便 进一步 探索 某 个 主题 。 例 如 ， 关 于 软件 复 用 的 课程 就 可 
以 基于 第 15 ~ 18 章 的 内 容 。 
用 书 教 师 可 以 访问 培 生 网 站 获取 相关 教 辅 资源 ， 网 址 为 http://www.pearsonhighered.com/ 
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sommerville “。 部 分 资源 为 加 密 内 容 ， 可 在 网 站 上 通过 注册 来 获取 密码 。 教 辅 资源 包括 : 
e 部 分 章 末 练习 题 的 答案 。 
e 每 章 的 测验 题目 及 答案 。 


配套 网 站 
本 书 采 用 印刷 和 在 线 网 站 内 容 相 结合 的 方式 ; 其 中 印刷 版 中 的 核心 信息 可 以 链接 到 网 站 
上 的 补充 材料 。 有 些 章节 包含 特别 编写 的 在 线段 落 以 提供 更 多 的 信息 。 在 线 网 站 上 还 有 6 个 
在 线 草 节 ， 介 绍 了 和 大 干 我 在 本 书 的 印刷 版 中 未 介绍 的 主题 。 
读者 可 以 从 本 书 的 网 站 (software-engineering-book.com) 上 下 载 丰 富 的 补充 材料 ， 包 括 : 
e 本 书 所 有 草 节 的 PPT; 
o 我 所 录制 的 针对 一 系列 软件 工程 主题 的 视频 ， 我 还 推荐 了 一 些 有 助 于 学 习 本 书 内 容 
的 YouTube 视频 ， 
e 针对 课程 教师 的 指南 ， 其 中 给 出 了 在 教授 不 同 课程 时 如 何 使 用 本 书 的 建议 ; 
e 关于 本 书 中 案例 研究 (胰岛素 泵 、 心 理 健 康 保健 系统 、 野外 气象 站 系统 、 数 字 化 学 习 
系统 ) 的 附加 信息 ， 以 及 其 他 一 些 案例 研究 (例如 阿 丽 亚 娜 5 型 运载 火箭 失效 ); 
e 6 个 在 线 章节 ， 介绍 了 过 程 改进 、 形 式 化 方法 、 交 互 设计 、 应 用 体系 结构 、 文 档 化 以 


及 面 四 方面 的 开发 ; 
© 为 每 个 章节 提供 补充 内 容 的 在 线段 落 ， 这 些 在 线段 落 可 以 通过 每 一 草 中 用 方 框 突出 
显示 的 链接 来 访问 ; 


e 附加 的 涉及 一 系列 系统 工程 主题 的 PPT. 

应 本 书 读者 的 要 求 ， 我 已 经 在 本 书 的 网 站 上 发 布 了 其 中 一 个 系统 案例 研究 的 完整 需求 
规格 说 明 。 对 于 学 生 而 言 ， 获 得 这 种 文档 并 理解 其 结构 和 复杂 性 有 些 困 难 。 为 了 避免 保密 问 
题 ， 我 对 这 个 来 自 于 真实 系统 的 需求 文档 进行 了 再 工程 ， 因 此 使 用 该 文档 没有 任何 限制 。 


联系 信息 
网 站 : software-engineering-book.com 
邮件 : 名 字 ，software.engineering.book; 域名 ，gmail.com 
博客 : iansommerville.com/systems-software-and-technology 
YouTube: youtube.com/user/SoftwareEngBook 
Facebook: facebook.com/sommerville.software.engineering 
Twitter; @SoftwareEngBook 或 者 @iansommerville (获取 更 广泛 的 推 文 ) 
请 在 Twitter 或 Facebook 上 关注 我 ， 以 便 及 时 获得 关于 软件 和 系统 工程 的 新 材料 和 新 评论 。 
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软件 工程 守 论 





”这 一 部 分 的 目标 是 对 软件 工程 做 一 般 性 概述 ， 各 章 可 以 用 于 一 个 学 期 的 软件 工程 导论 性 
S 质 的 课程 。 这 部 分 介绍 软件 工程 的 一 些 重要 概念 (如 软件 过 程 和 敏捷 方法 )， 描 述 基本 的 软 
件 开发 活动 (从 需求 规格 说 明 一 直到 系统 演化 )。 

第 1 章 是 一 个 概述 ， 介 绍 了 专业 软件 工程 并 定义 了 一 些 软件 工程 的 概念 。 这 一 章 还 就 软 
件 工 程 职业 道德 方面 的 问题 进行 了 简要 的 讨论 。 软 件 工 程 师 认真 思考 所 从 事 的 工作 的 深远 影 
响 是 很 重要 的 。 这 一 章 还 介绍 了 本 书 中 所 使 用 的 4 个 案例 研究 ， 分 别 是 : 管理 接受 心理 健康 
问题 治疗 的 病人 记录 的 信息 系统 (Mentcare)， 便 携 式 胰岛 素 泵 控制 系统 ， 野 外 气象 站 诅 入 式 
系统 ， 数 字 化 学 习 环 境 (iLearn)。 

第 2 章 和 第 3 章 分 别 介绍 软件 工程 过 程 和 敏捷 开发 。 第 2 章 介绍 软件 过 程 模 型 ， 例 如 瀑 
布 模型 ， 以 及 这 些 过 程 中 的 基本 活动 。 第 3 章 补 充 了 一 个 关于 软件 工程 的 敏捷 开发 方法 的 讨 
论 ， 并 在 上 一 版 的 基础 上 进行 了 全 面 的 修改 ， 主 要 关注 使 用 Scrum 的 敏捷 开发 以 及 对 于 敏 
捷 实 践 的 讨论 (例如 ， 用 于 需求 定义 的 故事 以 及 测试 驱动 开发 )。 

这 部 分 的 其 他 各 章 是 对 第 2 章 中 所 介绍 的 软件 过 程 活动 的 深入 阅 述 。 第 4 章 介 绍 需 求 工 
程 这 一 十 分 重要 的 话题 ， 其 中 定义 了 系统 应 该 做 什么 的 需求 。 第 5 章 介 绍 如 何 使 用 UML 对 
系统 进行 建 模 ， 主 要 关注 使 用 用 况 图 、 类 图 、 顺 序 图 和 状态 图 来 建 模 软件 系统 。 第 6 章 对 软 
件 体 系 结构 的 重要 性 进行 了 讨论 ， 并 介绍 了 如 何在 软件 设计 中 使 用 体系 结构 模式 。 

第 7 章 介 绍 面向 对 象 的 设计 和 设计 模式 的 使 用 ， 还 介绍 了 重要 的 实现 问题 一 复 用 、 配 
置 管 理 、 宿 主机 一 目标 机 开发 ， 并 且 讨 论 了 开源 软件 开发 。 第 8 章 主 要 介绍 软件 测试 ， 从 系 
统 开 发 时 的 单元 测试 到 软件 的 发 布 测试 。 此 外 ， 第 8 章 还 讨论 了 测试 驱动 开发 的 使 用 ， 这 是 
在 敏捷 方法 中 率先 使 用 的 一 种 方法 ， 现 在 已 经 得 到 广泛 应 用 。 最 后 ， 第 9 章 简 要 介绍 了 软件 
演化 问题 ， 包 括 演化 过 程 、 软 件 维 护 和 遗留 系统 管理 。 
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目标 

本 章 的 目标 是 介绍 软件 工程 的 概念 ， 并 为 理解 本 书 其 他 部 分 内 容 提 供 一 个 框架 。 阅 读 完 
本 章 后 ， 你 将 : 

e 理解 软件 工程 是 什么 ， 为 什么 它 很 重要 ; 

e 理解 开发 不 同类 型 的 软件 系统 可 能 需要 不 同 的 软件 工程 技术 ; 

o 理解 对 于 软件 工程 师 很 重要 的 道德 和 职业 问题 ; 

e 了 解 4 个 不 同类 型 的 软件 系统 ,全 书 都 将 以 它们 为 例 。 

软件 工程 对 于 政府 、 社 会 、 国 内 和 国际 企业 、 机 构 的 正常 运转 都 是 至 关 重 要 的 。 现 在 的 
世界 离开 软件 就 无 法 运转 了 。 国 家 基础 设施 和 公共 服务 都 是 由 基于 计算 机 的 系统 控制 的 ， 大 
多 数 电 子 产品 都 包括 计算 机 和 控制 软件 。 工 业 制 造 和 分 销 已 经 完全 计算 机 化 了 ,金融 系统 也 
是 这 样 。 娱 乐 业 ， 包 括 音 乐 产业 、 计 算 机 游戏 产业 、 电 影 和 电视 产业 ， 也 是 一 个 软件 密集 型 
的 产业 。 全 世界 75% 以 上 的 人 口 都 有 一 台 软 件 控制 的 移动 电话 ， 到 2016 年 其 中 的 大 多 数 都 
能 够 连接 互联 网 。 

软件 是 抽象 的 、 不 可 触摸 的 ， 它 不 受 物质 材料 的 限制 ， 也 不 受 物 理 定 律 或 加 工 过 程 
的 制约 : 一 方面 使 软件 工程 得 以 简化 ， 因 为 软件 的 潜能 不 受 物理 因素 的 限制 ; 另 一 方面 ， 
由 于 缺乏 自然 约束 ， 软 件 系统 也 就 很 容易 变 得 极为 复杂 ， 理 解 它 会 很 困难 ,改变 它 价 格 ， 
高 昂 。 

有 很 多 不 同类 型 的 软件 系统 ， 从 简单 的 嵌入 式 系统 到 复杂 的 全 球 范围 的 信息 系统 。 没 有 
放 之 四 海 而 血 准 的 软件 工程 表示 法 、 方 法 或 技术 ， 因 为 不 同类 型 的 软件 需要 不 同 的 方法 。 开 
发 一 个 组 织 的 信息 系统 和 开发 一 个 科学 仪器 的 控制 器 是 完全 不 同 的 ， 而 这 些 系统 都 跟 图 形 密 
集 型 的 计算 机 游戏 没有 太 多 的 共同 点 。 所 有 这 些 应 用 都 需要 软件 工程 ， 但 并 不 都 是 需要 相同 
的 软件 工程 方法 和 技术 。 

现在 仍 有 许多 有 关 软 件 项 目 出 问题 和 “软件 失效 ”的 报道 。 软 件 工 程 因 不 能 充分 支持 现 
代 软 件 的 开发 而 遭受 批评 。 然 而 ， 在 我 看 来 ， 这 些 所 谓 的 软件 失效 很 多 都 源 于 以 下 两 方面 的 
因素 : 

1. 不 断 增长 的 系统 复杂 性 。 随 着 新 的 软件 工程 技术 可 以 帮助 我 们 构建 更 大 、 更 复杂 的 系 
统 ， 要 求 在 发 生变 化 。 系 统 必 须 更 快 地 构建 和 交付 ; 需要 更 大 甚至 更 复杂 的 系统 ; 系统 必须 
具备 在 以 前 看 来 不 可 能 实现 的 功能 。 必 须 不 断 发 展 新 的 软件 工程 技术 来 迎接 交付 更 复杂 的 软 
件 的 新 挑战 。 

2. 未 有 效 采 用 软件 工程 方法 。 不 采用 软件 工程 的 方法 和 技术 去 编写 计算 机 程序 是 相当 
容易 的 。 许 多 公司 都 是 随 着 他 们 的 产品 和 服务 的 逐步 发 展 而 逐渐 陷入 软件 开发 中 的 。 他 们 在 
日 常 工 作 中 不 使 用 软件 工程 方法 ， 结 果 导 致 他 们 的 软件 经 常 比 预计 的 费用 高 而 可 靠 性 低 于 预 
期 。 我 们 需要 更 好 的 软件 工程 教育 和 训练 来 应 对 这 一 问题 。 
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些 问题 ， 但 如 果 没 有 软件 工程 ， 我 们 就 不 能 探索 太空 ， 无 法 使 用 互联 网 和 现代 的 电信 服务， 
而 各 种 形式 的 旅行 则 会 更 加 危险 和 昂贵 。 人 类 在 21 世纪 所 面临 的 挑战 是 气候 变化 、 自 然 资 
源 不 足 、 人 口 绪 构 变化 以 及 世界 人 口 膨胀 。 我 们 将 依赖 软件 工程 来 开发 应 对 这 些 问 题 所 需 的 
系统 。 








O 软件 工程 的 历史 


“软件 工程 ”这 一 概念 是 在 1968 年 召开 的 一 个 讨论 所 谓 的 “软件 危机 ”问题 的 会 议 

上 首次 被 提出 的 (Naur and Randell 1969 )。 当 时 ， 人 们 认识 到 单一 的 程序 开发 技术 已 经 

不 能 适应 大 型 复杂 软件 系统 的 开发 。 这 些 软件 项 目 经 常 不 可 靠 、 费 用 高 于 预期 ， 并 且 延 迟 
交付 。 

20 世纪 七 入 十 年 代 ， 各 种 新 的 软件 工程 技术 和 方法 陆续 出 现 ， 例 如 结构 化 编程 、 信 

| 息 隐 藏 和 面向 对 象 开 发 。 各 种 工具 和 标准 的 表示 法 陆续 出 现 ， 并 逐渐 成 为 现代 软件 工程 的 
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1.1 专业 化 软件 开发 


许多 人 都 在 编写 程序 。 业 务 人 员 编 写 电子 表格 程序 来 简化 工作 ; 科学 家 和 工程 师 编写 程 
序 来 处 理 实验 数据 ; 业余 爱好 者 出 于 自己 的 兴趣 和 爱好 而 编写 程序 。 然 而 ， 大 多 数 软件 开发 
都 是 一 种 专业 化 的 活动 ， 软 件 的 开发 是 为 了 满足 某 种 业务 目标 ， 为 了 嵌入 其 他 设备 中 ， 或 者 
作为 软件 产品 (例如 信息 系统 、 计 算 机 辅助 设计 系统 )。 专 业 化 开发 与 个 人 化 开发 的 关键 区 
别 在 于 ， 专 业 化 软件 除了 开发 者 之 外 还 有 其 他 用 户 会 使 用 ,而 且 专 业 化 软件 通常 都 是 由 团队 
而 非 个 人 开发 的 。 专 业 化 软件 在 其 生命 周期 内 要 不 断 维护 和 修改 。 

软件 工程 的 目的 是 支持 专业 化 的 软件 开发 ， 而 非 个 人 编程 。 它 包括 支持 程序 规格 说 明 、 
设计 和 演化 的 相关 技术 ， 而 这 些 通 常 都 与 个 人 化 的 软件 开发 无 关 。 为 了 帮助 你 全 面 理解 软件 
工程 的 含义 ,图 1-1 对 一 些 常见 的 问题 及 其 回答 进行 了 总 结 。 

很 多 人 将 软件 等 同 于 计算 机 程序 ， 其 实 这 种 理解 是 很 狭隘 的 。 在 我 们 讨论 软件 工程 时 ， 
软件 不 仅 包括 程序 本 身 ， 而 且 还 包括 所 有 使 程序 能 够 正常 使 用 的 相关 文档 、 库 、 支 持 网 站 、 
配置 数据 等 。 一 个 专业 化 开发 的 软件 系统 通常 远 不 止 一 个 程序 。 系 统 可 能 包含 多 个 程序 以 及 
用 于 设置 这 些 程序 的 配置 文件 。 系 统 还 可 能 包括 描述 系统 结构 的 系统 文档 、 解 释 如 何 使 用 该 
系统 的 用 户 文 档 ， 以 及 告知 用 户 下 载 最 新 产品 信息 的 Web 网 站 。 

这 是 专业 软件 开发 与 业余 软件 开发 的 一 个 重要 区 别 。 如 果 你 只 是 自己 编写 一 个 程序 ， 而 
且 除 你 自己 之 外 没有 别 的 用 户 的 话 ， 你 就 不 用 费心 编写 程序 指南 和 设计 文档 等 。 然 而 ， 如 果 
你 的 软件 有 其 他 用 户 并 且 其 他 工程 师 会 进行 修改 的 话 ， 你 就 必须 在 程序 源 代码 之 外 提供 其 他 
附加 信息 。 

软件 工程 师 关心 的 是 软件 产品 ( 即 能 卖 给 客户 的 软件 ) 的 开发 。 软 件 产 品 有 以 下 两 类 。 
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Pie Uh) Mite SAR ee Fd SY ae eee oF) 
PORTE 计算 机 程序 和 相关 文档 。 软 件 产品 可 以 针对 特定 客户 开发 ， 也 可 

以 面向 一 个 通用 的 市 场 开发 
好 的 软件 应 当 向 用 户 提供 所 需 的 功能 与 性 能 ， 而 且 应 当 具备 好 的 





































此 : 
好 的 软件 具有 哪些 特性 ? 可 维护 性 、 可 依赖 性 和 可 用 性 
软件 工程 是 一 个 工程 学 科 ， 涵 盖 了 软件 生产 的 各 个 方面 ， 从 初始 
Z À 7 
什么 是 软件 工程 的 构想 到 运行 和 维护 
基本 的 软件 工程 活动 有 哪些 ”| ”软件 规格 说 明 、 软 件 开发 、 软 件 确认 和 软件 演化 












计算 机 科学 关注 理论 和 基础 ， 而 软件 工程 则 关注 开发 和 交付 有 用 


软件 工程 和 计算 机 科学 有 什么 
区 别 ? 的 软件 的 实践 


、 s -一 
软件 工程 和 系统 工程 有 什么 区 | ”系统 工程 关注 基于 计算 机 的 系统 开发 的 所 有 方面 ， 包 括 硬件 、 软 






别 ? 件 和 过 程 工程 。 软 件 工程 是 这 个 更 加 泛 化 的 过 程 的 一 部 分 


li 应 对 不 断 增 长 的 多 样 性 、 缩 短 交 付 时 间 以 及 开发 可 信 软 件 的 要 求 
by ea e % M %., * è 
软件 工程 的 成 本 有 哪些 ? 软件 开发 成 本 约 占 总 成 本 的 60%， 测 试 成 本 占 40%。 对 于 定制 化 


软件 而 言 ， 演 化 成 本 经 常 超过 开发 成 本 
虽然 所 有 的 软件 项 目 都 必须 进行 专业 化 的 管理 和 开发 ， 但 适合 
最 好 的 软件 工程 技术 和 方法 是 
什么 ? 













不 同类 型 的 系统 的 技术 各 不 相同 。 例 如 ， 游 戏 开 发 总 是 需要 使 用 一 
系列 的 原型 ， 而 安全 关键 的 控制 系统 开发 则 要 求 开 发 一 个 完整 并 且 
可 分 析 的 规格 说 明 。 没 有 任何 方法 和 技术 适用 于 所 有 系统 


互联 网 给 软件 工程 带 来 了 哪些 | ”互联 网 不 仅 带 来 了 大 规模 、 高 度 分 布 式 、 基 于 服务 的 系统 的 开发 ， 
不 同 ? 而 且 在 互联 网 的 支持 下 创造 了 改变 软件 经 济 模式 的 移动 App 产业 
图 1-1 软件 工程 的 常见 问题 


1. 通用 软件 产品 ， 由 软件 开发 组 织 开 发 ， 在 市 场 上 公开 销售 ， 可 以 独立 使 用 。 这 类 软件 
产品 包括 移动 应 用 、 数 据 库 软件 、 字 处 理 软件 、 绘 图 软件 以 及 项 目 管理 工具 等 。 还 包括 用 于 、 
特定 目的 的 所 谓 的 “垂直 ”应 用 产品 ， 如 图 书馆 信息 系统 、 财 务 系统 等 。 

2. 定制 化 软件 产品 ， 受 特定 的 客户 委托 ， 由 软件 承包 商 专 门 为 这 类 客户 设计 和 实现 。 这 
类 软件 包括 电子 设备 的 控制 系统 、 特 定 的 业务 处 理 系 统 、 空 中 交通 管制 系统 等 。 

这 两 类 产品 的 一 个 关键 区 别 在 于 : 在 通用 软件 产品 中 ， 软 件 规格 说 明 由 开发 者 自己 确 
定 ， 这 意味 着 如 果 在 开发 过 程 中 直到 问题 ， 那 么 开发 者 可 以 重新 思考 所 要 开发 的 东西 ; 而 
定制 化 软件 产品 的 软件 规格 说 明 通 常 是 由 客户 给 出 的 ， 开 发 者 必须 按 客户 要 求 进 行 开发 。 

然而 ， 这 两 类 产品 之 间 的 界限 正在 变 得 越 来 越 模糊 。 现 在 很 多 公司 都 会 在 一 个 通用 软件 
产品 基础 上 进行 定制 以 满足 特定 客户 的 具体 要 求 。ERP (企业 资源 规划 ) 系统 (例如, 来自 
SAP 和 Oracle 的 系统 ) 就 是 这 种 方法 最 好 的 例子 。 这 种 大 规模 的 复杂 系统 通过 加 入 所 需要 
的 业务 规则 、 过 程 、 报 表 等 信息 来 适应 不 同 企业 的 需要 。 

软件 除了 提供 相应 的 功能 外 ， 作 为 一 种 产品 还 有 一 系列 相关 的 质量 属性 。 这 些 属性 不 直 
接 涉及 软件 的 功能 ， 而 是 反映 软件 在 执行 时 的 行为 以 及 源 程序 的 结构 、 组 织 及 相关 的 文档 。 
软件 对 用 户 查 询 的 啊 应 时 间 以 及 程序 代码 的 可 理解 性 就 属于 这 类 属性 (有 时 称 为 非 功 能 性 
属性 )。 

对 于 一 个 软件 系统 ， 你 所 期 望 的 特定 属性 集合 显然 取决 于 其 应 用 方式 。 例 如 ， 飞 机 控制 
系统 必须 安全 ， 交 互 式 游戏 必须 响应 快 ， 电 话 交 换 系统 必须 可 靠 等 。 这 些 属性 的 泛 北 总 结 如 
图 1-2 所 示 ， 它 们 也 是 专业 化 软件 系统 的 基本 特性 。 









软件 对 于 目标 类 型 的 用 户 而 言 必须 是 可 接受 的 。 这 意味 着 软件 必须 可 理解 、 
有 用 ， 并 且 与 用 户 使 用 的 其 他 系统 相 兼容 
软件 可 依赖 性 包括 一 系列 特性 ， 如 可 菲 性 、 信 息 安 全 性 、 安 全 性 。 可 依赖 的 


CBE BUTE | 软件 即使 在 系统 失效 时 也 不 应 当 导致 物 理 或 经 济 上 的 破坏 。 软 件 必须 保证 信息 


全 性 


安全 ， 使 得 恶意 用 户 无 法 访问 或 破坏 系统 
软件 不 应 当 浪费 系统 资源 ， 例 如 存储 和 处 理 器 周期 。 因 此 ， 效 率 包括 响应 
性 、 处 理 时 间 、 资 源 利 用 情况 等 


可 维护 性 软件 应 当 能 够 通过 演化 满足 客户 变化 的 需求 。 这 是 一 个 关键 属性 ， 因 为 软件 
变更 是 一 个 变化 的 业务 环境 不 可 避免 的 要 求 





图 122 好 的 软件 的 基本 属性 


1.1.1 软件 工程 


软件 工程 是 一 门 工程 学 科 ， 涉 及 软件 生产 的 各 个 方面 ， 从 最 初 的 系统 规格 说 明 直 到 投入 
-使 用 后 的 系统 维护 ， 痢 属于 其 学 科 范 畴 。 在 这 个 软件 工程 的 定义 中 有 以 下 两 个 关键 词 。 
1. 工程 学 科 。 工程 师 让 事物 运转 起 来 。 他 们 在 适当 的 地 方 应 用 理论 、 方 法 和 工具 。 然 而 
,他们 是 选择 性 地 使 用 这 些 理论 、 方 法 和 工具 ， 并 且 即 使 没有 可 用 的 理论 和 方法 ， 他 们 也 总 是 
试图 寻求 问题 的 解决 方案 。 工 程 师 还 认识 到 他 们 必须 在 组 织 和 经 济 约束 下 工作 ， 并 且 必 须 在 
这 些 约束 之 下 寻求 解决 方案 。 

2. 软件 生产 的 各 个 方面 。 软 件 工程 不 仅仅 关注 软件 开发 的 技术 过 程 ， 它 也 包括 其 他 一 些 
活动 ， 例 如 软件 项 目 管理 以 及 支持 软件 开发 的 工具 、 方 法 和 理论 的 开发 。 

工程 都 是 要 求 在 进度 和 预算 范围 内 获得 所 要 求 的 品质 的 成 果 。 这 经 常 涉及 权衡 决策 : T. 
程 师 不 能 是 完美 主义 者 。 而 为 自己 写 程序 的 人 则 可 以 在 程序 开发 上 想 花 多 少时 间 就 花 多 少时 间 。 

一 般 而 言 ， 软 件 工程 师 都 会 在 其 工作 中 运用 系统 化 、 有 组 织 的 方法 ， 因 为 这 通常 是 开发 
高 质量 软件 最 有 效 的 方式 。 然 而 ， 工 程 都 是 为 各 种 情况 选择 最 恰当 的 办 法 ， 因 而 一 个 更 有 创 
造 性 却 不 那么 正式 的 开发 方法 对 于 某 些 软件 可 能 是 恰当 的 选择 。 一 种 更 加 灵活 的 、 支 持 快 速 
变化 的 软件 过 程 尤其 适合 于 交互 式 的 基于 Web 的 系统 或 移动 应 用 的 开发 ， 这 类 软件 要 求 综 
合 软件 和 图 形 化 开发 技能 。 

软件 工程 之 所 以 重要 有 两 方面 的 原因 : 

1. 个 人 和 社会 正 越 来 越 多 地 依赖 于 先进 的 软件 系统 。 这 就 要 求 我 们 能 够 以 经 济 而 且 快 速 
的 方式 开发 出 可 徘 、 可 信和 的 系统 。 

2. 从 长 远 来 看 ， 运 用 软件 工程 方法 和 技术 开发 专业 化 的 软件 系统 , 比 单纯 作为 个 人 编程 
项 目 编写 程序 更 加 便宜 。 无 法 有 效应 用 软件 工程 方法 将 会 导致 更 高 的 测试 、 质 量 保 障 和 长 期 
维护 的 成 本 。 

软件 工程 中 所 使 用 的 系统 化 方法 有 时 被 称 为 “软件 过 程 ”。 软 件 过 程 是 指 实现 软件 产品 
开发 的 活动 序列 。 所 有 的 软件 过 程 都 包含 以 下 4 项 基本 活动 : 

1. 软件 规格 说 明 ， 其 中 客户 和 工程 师 定义 所 要 开发 的 软件 以 及 对 其 运行 的 约束 ; 

2. 软件 开发 ， 对 软件 进行 设计 和 编程 实现 ; 

3. 软件 确认 ， 对 软件 进行 检查 以 确保 它 是 客户 所 需要 的 ; 

4. 软件 演化 ， 对 软件 进行 修改 以 反映 客户 和 市 场 需求 的 变化 。 
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”如 第 2 章 中 将 解释 的 那样 ， 不 同类 型 的 系统 需要 不 同 的 软件 开发 过 程 。 例 如 ， 飞 机 上 所 
使 用 的 实时 软件 必须 在 开发 开始 之 前 确定 完整 的 规格 说 明 。 而 在 电子 商务 系统 中 ， 规 格 说 明 
和 程序 通常 是 一 起 开发 的 。 因 此 ， 根 据 所 开发 的 软件 类 型 的 不 同 ， 这 些 通用 的 开发 活动 可 以 
以 不 同 的 方式 进行 组 织 ， 并 且 以 不 同 的 详细 程度 进行 描述 。 

软件 工程 与 计算 机 科学 和 系统 工程 都 相关 。 

1. 计算 机 科学 关注 支撑 计算 机 和 软件 系统 的 基础 理论 和 方法 ， 而 软件 工程 则 关注 软件 开 
发 过 程 中 的 实际 问题 。 正 如 电子 工程 师 必 须 具 有 一 定 的 物理 学 知识 一 样 ， 软 件 工程 师 必 须 具 
有 一 定 的 计算 机 科学 知识 。 然 而 ， 计 算 机 科学 理论 通常 更 适用 于 相对 较 小 的 程序 。 优 雅 的 计 
算 机 科学 理论 很 少 与 需要 软件 解决 方案 的 大 型 复杂 问题 相关 。 

2. 系统 工程 关注 复杂 系统 的 开发 和 演化 的 各 个 方面 ， 在 这 类 系统 中 软件 扮演 着 重要 的 角 
色 。 因 而 ， 系 统 工程 关注 硬件 开发 、 政 策 和 过 程 设计 、 系 统 部 署 ， 以 及 软件 工程 。 系 统 工程 
师 参 与 制定 系统 规格 说 明 、 定 义 系统 总 体 体系 结构 ， 然 后 集成 不 同 的 部 分 以 创建 整个 系统 。 

如 在 1.1.2 节 的 讨论 ， 有 许多 不 同类 型 的 软件 。 没 有 放 之 四 海 而 皆 准 的 软件 工程 方法 和 
技术 。 然 而 以 下 4 个 相关 的 问题 对 许多 不 同类 型 的 软件 都 有 影响 。 

1. 异 构 性 。 当 今 越 来 越 多 的 系统 都 是 跨 网 络 运 行 的 分 布 式 系统 ， 其 中 包含 不 同类 型 的 计 
算 机 和 移动 设备 。 除 了 在 通用 计算 机 上 运行 之 外 ,软件 也 有 可 能 要 在 移动 电话 和 平板 电脑 上 
运行 。 有 时 还 必须 将 新 开发 的 软件 与 用 不 同 的 编程 语言 开发 的 老 的 遗留 系统 相 集 成 。 由 此 带 
来 的 挑战 是 ， 如 何 开 发 相应 的 技术 以 构造 可 靠 是 能 够 灵活 应 对 这 种 异 构 性 的 软件 。 

2. 企业 和 社会 的 变革 。 随 着 新 经 济 的 发 展 和 新 技术 的 不 断 涌现 ， 企 业 和 社会 正在 发 生 着 
前 所 未 有 的 快速 变革 。 他 们 要 能 够 快速 地 修改 现 有 的 软件 同时 开发 新 的 软件 。 很 多 传统 的 软 
件 工程 技术 都 很 耗 时 ， 新 系统 的 交付 往往 远 远 滞后 于 计划 。 这 些 技术 必须 不 断 发 展 ， 从 而 使 
软件 为 其 客户 提供 价值 所 需 的 时 间 能 够 缩短 。 

3. 信息 安全 与 信任 。 软 件 与 我 们 生活 的 各 个 方面 都 息息相关 ， 因 此 软件 能 够 取得 人 们 的 
信任 是 很 重要 的 。 那 些 通过 Web 页 面 或 Web 服务 接口 访问 的 远程 软件 系统 尤其 如 此 。 我 们 
必须 确保 怀 有 恶意 的 人 无 法 成 功 地 攻击 我 们 的 软件 ， 使 信息 安全 能 够 得 到 保障 。 

4. 规模 。 软 件 开发 必须 能 够 在 很 天 的 范围 内 支持 不 同 规模 的 系统 ， 从 移动 或 可 穿戴 设备 
中 的 很 小 的 嵌入 式 系统 到 互联 网 上 服务 全 球 社区 的 基于 云 的 系统 。 

为 了 应 对 这 些 挑战 ， 我 们 需要 新 的 工具 和 技术 ， 且 需要 以 创新 性 的 方式 结合 并 使 用 现 有 
的 软件 工程 方法 。 


1.1.2 ”软件 工程 的 多 样 性 


软件 工程 是 生产 软件 的 系统 化 的 方法 ， 它 考虑 了 现实 的 成 本 、 进 度 、 可 靠 性 等 问题 ， 以 
及 软件 客户 和 开发 者 的 需要 。 所 使 用 的 特定 的 方法 、 工 具 和 技术 取决 于 开发 软件 的 组 织 、 
软件 的 类 型 以 及 开发 过 程 中 所 涉及 的 人 。 没 有 一 个 通用 的 软件 工程 方法 和 技术 适合 于 所 有 
的 系统 和 公司 。 各 种 各 样 的 软件 工程 方法 和 工具 在 过 去 的 50 多 年 里 不 断 发 展 变化 。 然 而 ， 
SEMAT 倡议 ( Jacobson et al. 2013 ) 认为 存在 一 个 基本 的 元 过 程 ， 可 以 通过 实例 化 创建 不 同 
种 类 的 过 程 。 这 个 元 过 程 仍 然 处 于 早期 发 展 阶 段 ， 可 能 是 改进 我 们 当前 的 软件 工程 方法 的 一 
个 基础 。 

在 考虑 哪 种 软件 工程 方法 和 技术 最 重要 时 ， 也 许 最 重要 的 因素 是 所 开发 的 应 用 的 类 型 。 
存在 许多 不 同类 型 的 应 用 。 
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1. 独立 的 应 用 。 这 是 运行 在 个 人 计算 机 上 的 应 用 或 者 运行 在 移动 设备 上 的 应 用 。 它 们 
包含 所 有 必要 的 功能 ， 可 以 不 用 连接 到 网 络 上 。 这 类 应 用 的 例子 包括 个 人 计算 机 上 的 办 公 软 
件 、 计 算 机 辅助 设计 程序 、 图 片 处 理 软件 、 旅 行 应 用 、 生 产 力 应 用 等 。 

2. 基于 事务 的 交互 式 应 用 。 这 类 应 用 在 远程 计算 机 上 运行 ， 用 户 通过 自己 的 计算 机 、 手 
机 或 平板 电脑 进行 访问 。 显 然 ， 这 类 应 朋 包 括 Web 应 用 ， 例 如 电子 商务 应 用 ， 这 种 应 用 可 
以 让 用 户 通过 与 一 个 远程 系统 交互 来 购买 商品 或 服务 。 这 类 应 用 还 包括 业务 系统 ,一 个 企业 
通过 Web 浏览 句 或 者 特殊 的 客户 端 程序 以 及 基于 云 的 服务 让 用 户 访问 他 们 的 系统 ， 例 如 邮 
件 和 照片 共享 。 交互 式 应 用 通常 包含 大 规模 的 数据 存储 ， 这 些 数据 在 每 一 次 事务 中 被 访问 和 
更 新 。 

3. 谋 入 式 控制 系统 。 这 类 应 用 有 一 个 软件 控制 系统 来 控制 和 管理 鲁 件 设备 。 从 数量 上 
看 ， 佣 人 式 系统 和 远 远 多 于 任何 其 他 类 型 的 系统 。 肯 入 式 系统 的 例子 包括 移动 电话 中 使 用 的 软 
件 、 汽 车 上 控制 防 抱 死 镜 车 的 软件 ， 以 及 微波 炉 上 控制 豪 饪 过 程 的 软件 。 

4. 批 处 理 系统 。 这 是 一 类 业务 系统 ， 被 设计 用 来 处 理 大 批量 的 数据 。 它 们 处 理 大 量 的 
单个 输入 以 创建 相应 的 输出 。 这 类 系统 包括 定期 计 费 系统 ， 例 如 电话 计 费 系统 和 工资 支付 


”系统 。 


”5. 娱 乐 系统 。 这 类 系统 主要 是 个 人 用 户 用 于 娱乐 。 大 多 数 的 这 类 系统 是 运行 在 专用 的 
游戏 机 硬件 上 的 各 种 游戏 。 这 类 系统 所 提供 的 交互 质量 是 娱乐 系统 和 其 他 系统 的 一 个 重要 
区 别 。 

6. 建 模 和 仿真 系统 。 科 学 家 和 工程 师 开发 这 类 系统 来 模拟 物理 过 程 或 环境 ， 其 中 包括 很 
多 独立 上 且 相互 交互 的 对 象 。 这 些 系统 通常 是 计算 密集 型 的 ， 需 要 高 性 能 的 并 行 系统 来 运行 。 

7. 数据 收集 和 分 析 系 统 。 数 据 收集 系统 从 环境 中 收集 数据 ， 并 将 数据 发 送 到 其 他 系统 进 
行 处 理 。 这 些 软件 可 能 要 和 传感器 进行 交互 ， 并 且 经 常安 装 在 恶劣 环境 中 (例如 安装 在 发 动 
机 内 部 或 者 是 野外 )。“ 大 数据 ”分 析 可 以 使 用 基于 云 的 系统 来 进行 统计 分 析 ， 并 寻找 所 收集 
的 数据 中 的 关系 。 

8. 系统 之 系统 。 这 类 系统 在 企业 或 其 他 大 型 组 织 中 使 用 ， 由 其 他 一 些 软件 系统 组 成 。 其 
中 一 些 系 统 是 通用 软件 产品 ， 例 如 ERP 系统 。 其 他 的 一 些 系统 则 可 能 是 专门 为 这 个 环境 编 
写 的 软件 。 

当然 ， 这 些 不 同 软件 类 型 之 间 的 边界 是 模糊 的 。 如 果 你 开发 一 个 手机 游戏 ， 必 须 与 手机 
软件 开发 者 一 样 考虑 相同 的 约束 (电量 、 硬 件 交互 ) 。 而 批 处 理 系统 则 经 常 和 基于 Web 的 事 
务 系统 一 起 使 用 。 例 如 ， 一 个 公司 的 差旅费 报销 申请 可 能 通过 Web 应 用 提交 ， 但 却 需要 批 
处 理应 用 来 处 理 以 实现 按 月 支付 。 

每 种 类 型 的 系统 需要 专门 的 软件 工程 技术 ， 因 为 软件 有 不 同 的 特点 。 例 如 ， 一 个 汽车 
上 的 嵌入 式 控制 系统 的 安全 性 十 分 重要 ， 在 车 上 安装 时 是 烧 录 到 ROM (只 读 存储 器 ) 中 的 。 
因此 ， 该 软件 的 修改 十 分 昂贵 。 这 样 的 系统 需要 全 面 的 验证 和 确认 ， 以 确保 销售 出 去 之 后 不 
得 不 召回 以 修复 软件 问题 的 可 能 性 最 小 化 。 用 户 交互 很 少 (或 者 也 许 根 本 不 需要 )， 因 此 不 
需要 使 用 一 个 依赖 于 用 户 界面 原型 的 开发 过 程 。 

对 于 交互 式 的 基于 Web 的 系统 或 移动 应 用 ，、 和 迭代 式 开发 和 交付 是 最 好 的 方法 ， 其 中 系 
统 由 可 复 用 的 构件 组 成 。 然 而 ， 这 一 方法 对 于 系统 之 系统 就 不 适用 了 ， 因 为 其 中 的 系统 交互 
的 详细 规格 说 明 必须 提前 定义 好 ， 以 使 得 每 个 系统 都 可 以 独立 进行 开发 。 

然而 ， 还 是 有 一 些 软件 工程 基础 适用 于 所 有 类 型 的 软件 系统 。 
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，1. 软件 系统 开发 过 程 应 当 是 受 管理 的 并 且 被 开发 人 员 所 理解 。 软 件 开 发 组 织 应 当 对 开发 
过 程 进行 计划 ， 并 对 要 开发 什么 以 及 什么 时 候 完成 很 清楚 。 当 然 ， 应 当 使 用 什么 样 的 特定 过 
程 则 取决 于 你 所 开发 的 软件 的 类 型 。 

2. 可 靠 性 和 性 能 对 所 有 类 型 的 系统 来 说 都 很 重要 。 软 件 应 该 按照 所 期 待 的 方式 运行 ,不 
会 发 生 失 效 ， 并 且 在 用 户 需要 的 时 候 是 可 用 的 。 它 在 运行 过 程 中 应 该 确保 安全 ， 并 且 针 对 外 
部 攻击 尽 可 能 保证 信息 安全 。 系 统 应 当 高 效 地 运行 且 不 会 浪费 资源 。 

3. 理解 和 管理 系统 规格 说 明和 需求 (软件 应 该 做 什么 ) 是 很 重要 的 。 你 必须 知道 不 同 的 
客户 和 用 户 对 于 系统 的 期 望 是 什么 ， 然 后 你 必须 管理 他 们 的 期 望 以 便 能 够 在 预算 范围 内 按时 
交付 一 个 有 用 的 系统 。 

4. 你 应 该 尽 可 能 高 效 地 使 用 已 有 的 资源 。 这 就 意味 着 ， 你 应 该 在 一 些 适当 的 地 方 复 用 已 
开发 的 软件 ， 而 不 是 重新 写 一 个 新 软件 。 

关于 开发 过 程 、 可 依赖 性 、 需 求 、 管 理 和 复 用 的 基本 概念 是 本 书 的 重要 主题 。 不 同 的 方 
法 以 不 同 的 方式 反映 这 些 概念 ， 但 它们 是 所 有 专业 化 软件 开发 的 基础 。 

这 些 基础 与 软件 开发 所 使 用 的 编程 语言 无 关 。 本 书 不 涉及 特定 的 编程 技术 ， 因 为 不 同类 
型 的 系统 在 编程 技术 方面 差异 很 大 。 例如， 动态 语言 (例如 Ruby) 是 交互 式 系统 开发 的 一 个 
正确 选择 ， 然 而 这 类 语言 完全 不 适合 嵌入 式 系统 工程 。 


1.1.3 互联 网 软件 工程 


互联 网 和 万 维 网 的 发 展 已 经 对 我 们 的 生活 产生 了 深远 的 影响 。 最 初 ，Web 只 是 一 种 可 以 
被 广泛 访问 的 信息 源 ， 对 软件 系统 几乎 没有 影响 。 那 时 的 软件 系统 在 本 地 计算 机 上 运行 ， 且 
只 是 由 同一 组 织 内 部 的 人 访问 。2000 年 左右 , Web 开始 演化 ,浏览 吉 添加 了 越 来 越 多 的 功能 。 
这 就 意味 着 基于 Web 的 系统 的 开发 允许 用 户 通 过 浏览 副 而 非特 别 开 发 的 用 户 界 面 来 访问 这 
些 系 统 。 这 就 导致 了 大 量 通 过 Web 访问 、 提 供 创新 性 服务 的 新 系统 产品 的 开发 。 这 些 系 统 
通常 依赖 广告 赞助 ， 广 告 显 示 在 用 户 屏幕 上 ， 不 需要 用 户 直接 付费 。 


除了 这 些 系统 产品 ，Web 浏览 器 的 发 展 使 得 浏览 句 可 以 运行 小 程序 并 且 进 行 一 些 本 地 - 


处 理 ， 这 导致 了 业务 和 组 织 软件 的 变化 。 不 同 于 将 写 好 的 软件 部 署 在 用 户 的 个 人 计算 机 上 运 
行 ， 这 些 软件 部 署 在 Web 服务 器 上 。 这 就 使 得 修改 和 升级 软件 变 得 更 加 便宜 ， 因 为 不 需要 
在 每 台 个 人 计算 机 上 安装 软件 。 这 也 降低 了 成 本 ， 因 为 用 户 界面 开发 非常 昂贵 。 因 此 ， 只 要 
有 可 能 ， 公 司 就 会 选择 将 软件 系统 移动 到 基于 Web 的 交互 模式 上 。 

软件 即 服务 的 思想 (第 17 章 ) 在 21 世纪 初 被 提出 来 。 这 一 思想 现在 已 经 成 为 基于 Web 
的 系统 产品 (例如 Google 移动 应 用 、 微 软 的 Office 365, Adobe 的 Creative 套件 ) 交付 的 标 
准 方法 。 越 来 越 多 的 软件 运行 在 远 端的 “ 云 ” 上 而 非 本 地 的 服务 器 上 ， 并 通过 互联 网 访问 。 
计算 云 是 由 大 量 相 互 连 接 并 由 许多 用 户 共 享 的 计算 机 系统 组 成 的 。 用 户 并 不 购买 软件 而 是 按 
照 软件 的 使 用 量 进行 付费 ， 或 者 让 用 户 免费 访问 并 通过 让 用 户 观 看 在 屏幕 上 展示 的 广告 来 获 
得 回报 。 如 果 你 使 用 基于 Web 的 邮件 、 存 储 或 视频 这 样 的 服务 ， 那么 你 正在 使 用 基于 云 的 
系统 。 

Web 的 出 现 使 业务 软件 的 组 织 方 式 发 生 了 剧烈 的 改变 。 在 没有 Web 之 前 ， 绝 大 多 数 的 
业务 应 用 都 是 巨石 应 用 ， 单 个 的 程序 运行 在 单个 计算 机 或 者 计算 机 集群 上 ， 只 有 组 织 内 部 的 
本 地 通信 。 现 在 ， 软 件 是 高 度 分 布 式 的 ， 有 时 会 跨越 整个 世界 。 业 务 应 用 不 再 是 从 头 开始 编 
写 程 序 ， 而 是 包含 了 对 构件 和 程序 的 大 规模 复 用 。 
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软件 组 织 中 的 这 一 变化 已 经 对 基于 Web 的 系统 的 软件 工程 造成 了 巨大 的 影响 。 例 如 : 

1. 软件 复 用 已 经 成 为 构建 基于 Web 的 系统 的 主流 方法 。 当 你 构造 这 样 的 系统 时 需要 
考虑 如 何在 已 存在 的 软件 构件 和 系统 基础 上 装配 系统 ， 这 些 构件 和 系统 经 党 捆绑 在 一 个 框 
架 中 。 

2. 人 们 普遍 承认 提前 确定 这 些 系统 的 所 有 需求 是 不 切实 际 的 。 基 于 Web 的 系统 总 是 增 
量 开发 和 交付 的 。 

3. 软件 可 以 使 用 面向 服务 的 软件 工程 来 实现 ， 其 中 软件 构件 是 独立 的 Web 服务 。 本 书 
将 在 第 18 章 中 介绍 这 种 软件 工程 方法 。 

4. AJAX (Holdener 2008 ) 和 HTML5 (Freeman 2011 ) 等 界面 开发 技术 已 经 出 现 ， 这 些 
技术 支持 Web 浏览 器 中 的 富 客 户 端 界 面 的 创建 。 

与 其 他 类 型 的 软件 一 样 ， 前 面 讨论 的 软件 工程 的 基本 思想 同样 适用 于 基于 Web 的 软 
件 。 基 于 Web 的 系统 正在 变 得 越 来 越 大 ， 因 此 应 对 规模 和 复杂 性 的 软件 工程 技术 与 这 些 系统 
相关 。 | 


1.2 软件 工程 职业 道德 


和 其 他 工程 学 科 一 样 ， 软 件 工 程 是 在 一 个 社会 和 法 律 框架 中 进行 的 ， 这 个 框架 限制 了 在 
“这 个 领域 中 工作 的 人 们 的 自由 。 作 为 一 个 软件 工程 师 ， 你 必须 接受 你 的 工作 包含 更 广阔 的 责 
任 而 不 仅仅 是 技术 能 力 的 应 用 。 如 果 你 想 作 为 一 个 专业 工程 师 得 到 尊重 ， 那 么 你 的 行为 必须 
合乎 职业 道德 并 且 有 责任 感 。 

软件 工程 师 必须 坚持 诚实 正直 的 行为 准则 ， 这 是 不 言 而 喻 的 。 他 们 不 能 用 所 掌握 的 知识 
和 技能 做 不 诚实 的 事情 ， 更 不 能 给 软件 工程 行业 抹黑 。 然 而 ， 在 有 些 方面 ， 某 些 行为 没有 法 
律 加 以 规范 ， 只 能 靠 职 业 道 德 来 约束 ， 这 种 约束 是 软弱 无 力 的 。 其 中 包括 : 

1. 保密 。 通 常 你 必须 严格 保守 雇主 或 客户 的 机 密 ， 无 论 你 们 是 否 签 署 了 保密 协议 。 

2. 工作 能 力 。 你 不 应 该 对 你 的 能 力 水 平 进行 虚假 陈述 。 你 不 应 该 故意 接受 超出 自己 能 力 
范围 的 工作 。 

3. 知识 产权 。 你 应 当知 晓 有 关 专 利 权 、 著 作 权 等 知识 产权 的 地 方法 律 ， 必 须 谨慎 行事 ， 
确保 雇主 和 客户 的 知识 产权 受到 保护 。 

4. 计算 机 滥用 。 你 不 应 该 运用 自己 的 技能 滥用 他 人 的 计算 机 。 滥 用 计算 机 有 时 对 他 人 影 
响 不 大 (如 在 雇主 的 机 器 上 玩 游戏 )， 但 有 时 后 果 非 常 严 重 (传播 病毒 )。 

在 这 个 方面 职业 协会 和 机 构 肩 负重 任 。ACM、IEEE 和 英国 计算 机 协会 等 组 织 颁布 了 职 
业 行 为 准则 或 职业 道德 准则 ， 凡 是 加 入 这 些 组 织 的 成 员 必须 严格 遵守 。 这 些 行为 准则 只 涉及 
基本 的 道德 行为 。 

ACM 和 IEEE 还 联合 推出 了 一 个 关于 职业 道德 和 职业 行为 的 准则 ， 有 两 个 版 本 : 一 个 
比较 简短 ， 见 图 1-3 ; 另 一 个 版 本 ( Gotterbarn, Miller, and Rogerson 1999) 较 长 ， 增 加 了 
一 些 细节 和 要 义 。 这 个 准则 背后 的 出 发 点 在 完整 版 的 前 两 段 中 进行 了 总 结 。 

计算 机 在 商业 、 工 业 、 政 府 、 医 药 、 教 育 、 娱 乐 和 整个 社会 中 的 核心 作用 日 渐 突 出 。 欣 
件 工程 师 是 直接 参与 或 讲授 软件 系统 的 分 析 、 规 格 说 明 、 设 计 、 开 发 、 认 证 、 维 护 和 测试 的 
人 员 。 基 于 在 软件 系统 开发 中 的 地 位 ， 软 件 工程 师 可 能 将 事情 做 好 也 可 能 做 坏 ， 还 可 能 让 他 
人 或 影响 他 人 将 事情 做 好 或 做 坏 。 为 了 最 大 限度 地 保证 自己 的 工作 是 有 益 的 ， 软 件 工程 师 必 
须 保证 使 软件 工程 业 成 为 对 社会 有 益 的 、 受 人 苯 歼 的 行业 。 基 于 以 上 保证 ， 软 件 工 程 师 应 当 
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遵守 下 面 的 道德 和 职业 行为 准则 ”。 

本 行为 准则 包括 8 项 基本 原则 ， 针 对 包括 软件 工程 行业 的 从 业者 、 教 育 者 、 管 理 者 、 监 
督 者 、 政 策 制 定 者 、 接 受 培 训 者 和 学 生 在 内 的 职业 软件 工程 师 。 这 8 条 原则 阐明 了 个 人 、 团 
队 和 机 构 之 间 职 业 道 德 上 的 责任 关系 以 及 他 们 在 其 中 应 该 履行 的 基本 义务 。 每 一 原则 的 条 款 
都 表述 了 这 些 关 系 中 的 一 些 义 务 。 这 些 义 务 既 基于 软件 工程 师 的 人 性 ， 也 对 那些 受 他 们 的 工 
作 和 软件 工程 实践 的 独特 环境 影响 的 人 们 表示 出 特别 的 关怀 。 本 准则 把 这 些 内 容 规 定 在 任何 
一 个 自称 或 渴望 成 为 软件 工程 师 的 义务 中 。 


软件 工程 职业 道德 和 行为 准则 
(ACM/IEEE-CS 软件 工程 职业 道德 和 行为 规范 联合 工作 组 ) 


前 言 
准则 的 简要 版 对 其 中 的 愿望 做 了 高 度 抽 象 的 概括 ; 完整 版 中 的 条 款 对 这 些 愿 望 进行 了 细 化 ， 并 给 
出 了 实例 ， 用 以 规范 软件 工程 专业 人 员 的 工作 方式 。 没 有 这 些 愿望 ， 所 有 的 细节 都 会 变 得 教条 而 
又 枯燥 ; 而 没有 这 些 细节 ， 愿 望 就 会 变 得 高 调 而 空洞 。 只 有 将 二 者 紧密 结合 才能 形成 有 机 的 行为 
准则 。 
软件 工程 师 应 当做 出 承诺 ， 使 软件 的 分 析 、 规 格 说 明 、 设 计 、 开 发 、 测 试 和 维护 等 工作 对 社会 有 


益 且 受 人 尊重 。 基 于 对 公众 健康 、 安 全 和 福利 的 考虑 ， 软 件 工程 师 应 当 遵守 以 下 8 条 原则 : 

1. 公众 感 。 软 件 工程 师 应 始终 与 公众 利益 保持 一 致 。 

2. 客户 和 雇主 - 软件 工程 师 应 当 在 与 公众 利益 保持 一 致 的 前 提 下 ， 保 证 客户 和 雇主 的 利益 最 大 化 。 
3. 产品 。 软 件 工程 师 应 当 保 证 他 们 的 产品 以 及 相关 的 修改 尽 可 能 满足 最 高 的 行业 标准 。 

4. 判断 力 。 软 件 工程 师 应 当 具 备 公 正和 独立 的 职业 判断 力 。 

5. 管理 。 软 件 工程 管理 者 和 领导 者 应 当 维 护 并 倡导 合乎 道德 的 有 关 软 件 开 发 和 维护 的 管理 方法 。 
6. 职业 感 。 软 件 工程 师 应 当 弘扬 职业 正义 感 和 荣誉 感 ， 尊 重 社会 公众 利益 。 

7. 同事 。 软 件 工程 师 应 当 公 平地 对 待 和 协助 每 一 位 同事 。 

8. 自己 。 软 件 工程 师 应 当 毕 生 学 习 专 业 知 识 ， 倡 导 合 乎 职业 道德 的 职业 活动 方式 。 





图 1-3 ACM/IEEE 道德 准则 (ACM/IEEE-CS 软件 工程 职业 道德 和 行为 规范 联合 工作 组 ， 
简要 版 : http://www.acm.org/about/se-code ) 
(© 1999 ACM, IEEE 版 权 所 有 ) 


有 些 时 候 不 同 的 人 会 有 不 同 的 观点 和 目标 ， 这 时 你 很 有 可 能 会 面 对 道 德 困 境 。 例 如 ， 如 
果 你 原则 上 不 赞成 公司 高 级 管理 层 的 决策 ， 该 怎么 办 ?显然 ， 这 取决 于 所 涉及 的 人 以 及 不 赞 
成 的 原因 。 是 在 团队 内 部 坚持 自己 的 观点 并 据 理 力争 ， 还 是 坚持 原则 谢 然 辞职 ”如 果 你 觉得 
一 个 软件 项 目 有 问题 ， 你 会 选择 在 什么 时 候 向 管理 层 报 告 呢 ? 如 果 只 是 在 怀疑 ， 这 时 癌 管 理 
层 报告 未 免 有 点 过 于 敏感 ; 如 果 拖 了 很 久 才 报告 ， 则 有 可 能 导致 难题 无 法 解决 。 

在 我 们 的 职业 生涯 中 ， 每 个 人 都 会 面临 这 种 困境 。 幸 运 的 是 ， 在 大 多 数 情 况 下 ， 这 些 困 
境 要 么 不 那么 严重 ,要 么 不 难 解 决 。 如 果 困 境 无 法 解决 ， 那 么 工程 师 会 面 对 男 一 个 问题 。 有 
操守 的 做 法 是 辞职 ,但 这 样 做 会 影响 到 其 他 人 ， 例 如 配偶 或 孩子 。 

当 雇 主 的 行为 违背 道德 时 ， 职 业 工 程 师 的 处 境 会 很 困难 。 例 如 ， 一 个 公司 负责 开发 一 个 
安全 关键 性 系统 ， 由 于 时 间 太 紧 而 算 改 了 安全 的 确认 记录 。 这 时 工程 师 是 应 该 保守 秘密 ， 还 
是 提醒 客户 注意 ， 还 是 以 某 种 方式 揭露 所 交付 的 系统 可 能 不 安全 ? 

这 里 的 问题 在 于 安全 不 是 绝对 的 。 虽 然 系统 没有 按照 预定 义 的 准则 进行 确认 ,但 这 些 

© ACM/IEEE-CS 软件 工程 职业 道德 和 行为 规范 联合 工作 组 ， 简 要 版 前 言 。http://www.acm.org/about/se- 


code, © 1999 国际 计算 机 学 会 (Association for Computing Machinery, ACM) 以 及 电气 和 电子 工程 师 协会 
(Institute of Electrical and Electronics Engineers, IEEE) 版 权 所 有 。 
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准则 可 能 过 于 可 刻 。 系 统 实际 上 可 能 会 在 整个 生命 周期 中 一 直 保持 安全 运行 。 还 有 一 种 可 能 
性 ， 即 使 进行 了 适当 的 确认 ， 最 终 系统 仍然 发 生 失 效 并 导致 事故 。 在 早期 披露 这 些 问题 将 使 
雇主 和 其 他 雇员 蒙受 损失 ， 如 果 隐 瞒 这 些 问 题 则 又 会 对 其 他 人 不 利 。 

在 这 个 问题 上 必须 有 目 己 的 主见 。 这 里 恰当 的 道德 立场 取决 于 所 涉及 的 人 的 观点 。 洪 在 
的 灾难 、 灾 难 的 严重 程度 以 及 灾难 的 受害 者 都 将 影响 决策 。 如 果 情 况 非常 危险 ， 就 应 该 通过 
一 定 的 方式 披露 出 来 ,但 同时 还 应 该 尊重 雇主 的 权利 。 

男 一 个 道德 问题 是 参与 军事 项 目 和 核 项 目 。 许 多 人 已 强烈 地 意识 到 这 个 问题 ， 不 想 参 与 
到 车 事 项 目 中 。 有 的 人 则 愿意 参与 军事 系统 开发 ， 但 不 愿意 参与 武 句 系统 开发 。 但 还 有 一 些 
人 感觉 国家 安全 是 压倒 一 切 的 原则 ， 对 于 参与 武器 系统 开发 没有 道德 上 的 反感 。 

在 上 述 情 况 中 ， 雇 主 和 所 有 雇员 事先 相互 沟通 各 目的 观点 非常 重要 。 知 以 一 个 组 织 的 形 
式 参 与 军事 系统 或 核 系统 的 开发 ， 应 该 确保 每 个 雇员 都 自愿 接受 工作 安排 。 同 样 ， 如 果 雇 员 
已 经 明确 表示 他 们 不 愿意 参与 这 类 项 目 ， 雇 主 也 不 应 该 在 日 后 给 他 们 施加 压力 。 

随 着 软件 密集 型 系统 越 来 越 多 地 渗透 到 人 们 的 日 常 工 作 和 生活 中 ,一 般 所 说 的 道德 和 职 
业 责 任 问题 受到 了 越 来 越 多 的 关注 。 可 以 从 哲学 的 角度 研究 道德 问题 的 基本 原理 ， 而 软件 工 
程 职 业 道德 的 研究 可 以 参照 这 些 基 本 原理 。 这 是 Laudon (Laudon 1995 ) 和 Johnson (Johnson 
2001 ) 所 采取 的 方法 。 更 近 的 一 些 著 作 (例如 Tavani 2013) 则 引入 了 信息 世界 伦理 道德 的 
思想， 同时 履 盖 了 哲学 背景 以 及 实践 和 法 律 问题 。 其 中 包含 了 面向 技术 用 户 以 及 开发 人 员 的 
道德 问题 。 

我 认为 用 哲学 的 研究 方法 太 过 抽象 ， 很 难 与 我 们 的 日 党 生活 联系 起 来 。 因 此 ， 我 推 尝 职 
业 行 为 准则 (Bott 2005; Duquenoy 2007 ) 中 更 加 具体 的 方法 。 道 德 问 题 的 研究 最 好 要 联系 软 
件 工程 的 实际 ， 而 不 是 将 其 作为 一 个 孤立 的 问题 。 因 此 ， 我 没有 以 一 种 抽象 的 方式 讨论 软件 
工程 道德 ， 而 是 在 练习 中 提供 了 一 些 例子 作为 小 组 讨论 的 基础 。 


1.3 ”案例 研究 


为 了 更 清楚 地 阐述 相关 的 软件 工程 概念 ， 本 书 中 用 了 4 种 不 同类 型 的 系统 作为 例子 。 本 
书 有 意识 地 避免 使 用 单一 的 案例 研究 ， 主 要 是 因为 本 书 要 传递 的 一 个 关键 信息 就 是 软件 工程 
的 实践 取决 于 所 要 开发 的 系统 类 型 。 因 此 ， 在 讨论 相关 的 概念 (例如 安全 性 、 可 依赖 性 、 系 
统 建 模 、 复 用 等 ) 时 会 有 针对 性 地 选择 合适 的 例子 。 

本 书 用 作案 例 的 系统 类 型 如 下 。 

1. 谱 入 去 系统 。 这 类 系统 中 的 软件 控制 便 件 设备 并 磐 入 该 设备 中 。 租 人 式 系 统 的 典型 问 
题 包 括 物理 尺寸 、 啊 应 性 、 电 量 管理 等 。 本 书 艇 入 式 系统 所 用 的 例子 是 一 个 面向 糖尿 病 患 者 
的 胰岛 素 泵 控制 软件 系统 。 | 

2. 信息 系统 。 这 类 系统 的 主要 目的 是 管理 和 提供 对 信息 数据 库 的 访问 服务 。 信 息 系 统 的 
主要 问题 包括 信息 安全 、 可 用 性 、 隐 私 以 及 保持 数据 的 完整 性 。 本 书信 息 系 统 所 用 的 例子 是 
一 个 医疗 记录 系统 。 

3. 基于 传感器 的 数据 采集 系统 。 这 类 系统 的 主要 目的 是 从 多 个 传感器 收集 数据 ， 并 以 适 
当 的 方式 处 理 数 据 。 这 类 系统 的 关键 需求 是 可 靠 性 (甚至 是 在 极端 环境 条 件 下 ) 以 及 可 维护 
性 。 本 书 数据 采 集 系 统 所 用 的 例子 是 一 个 野外 气象 站 。 | 

4. 支持 环境 。 这 类 系统 集成 了 一 系列 软件 工具 来 支持 某 种 活动 。Eclipse (Vogel 2012 ) 
这 样 的 编程 环境 可 能 是 本 书 读者 最 熟悉 的 一 种 环境 。 本 书 中 介绍 了 一 个 用 于 支持 学 生 校 内 学 
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习 的 数字 化 学 习 环 境 。 
本 章 将 逐一 对 这 些 系统 进行 介绍 ， 关 于 这 些 系 统 更 多 的 信息 可 以 从 本 书 的 网 站 (software- 
engineering-book.com) 上 获得 。 


1.3.1 胰岛 素 泵 控制 系统 


胰岛 素 泵 是 一 个 模拟 胰腺 (一 种 人 体 组 织 ) 运转 的 医疗 系统 。 该 系统 的 软件 控制 部 分 是 
一 个 藤 入 式 系统 ， 它 从 传感器 收集 数据 ， 然 后 控制 肥 输 送 指定 剂量 的 胰岛 素 给 患者 。 

糖尿 病 患 者 使 用 这 个 系统 。 糖 尿 病 是 一 种 常见 病症 ， 是 由 于 人 体 无 法 产生 足够 数量 的 胰 
岛 素 而 引起 的 。 胰 岛 素 在 血液 中 起 到 促进 葡萄 糖 代 谢 的 作用 。 糖 尿 病 的 传统 治疗 方法 是 长 期 
规律 地 注射 人 工 胰岛 素 。 糖 尿 病 患 者 使 用 一 种 外 部 仪器 定期 测量 自己 的 血糖 值 ， 然 后 计算 所 
需要 注射 的 胰岛 素 剂量 。 

这 种 治疗 方法 的 问题 在 于 ， 血 液 中 的 胰岛 素 浓度 不 仅 与 血液 中 的 葡萄 糖 浓 度 相 关 ， 还 与 
最 后 一 次 注射 胰岛 素 的 时 间 有 关 。 这 种 不 规律 的 检查 有 可 能 导致 血糖 浓度 太 低 ( 当 胰 岛 素 太 
多 时 ) 或 血糖 浓度 太 高 ( 当 胰 岛 素 太 少 时 )。 短 时 间 内 的 低 血 糖 是 一 种 比较 严重 的 情况 ， 会 
导致 暂时 的 脑 功 能 障碍 ， 最 后 失去 知觉 甚至 死亡 。 长 期 处 于 高 血糖 则 会 导致 眼睛 损伤 、 肾 损 
伤 和 心脏 问题 。 

当前 在 微型 传 感 问 发 展 方面 取得 的 进步 使 得 自动 胰岛 素 输送 系统 开发 成 为 可 能 。 这 个 系 
统 监 控 血 糖 浓度 ,根据 需要 输送 适当 的 胰岛 素 。 类 似 这 样 的 胰岛 素 输送 系统 现在 已 经 有 了 ， 
感觉 很 难 控制 自己 的 胰岛 素 水 平 的 病人 已 经 在 使 用 这 类 系统 了 。 将 来 还 有 可 能 将 这 样 的 系统 
永久 地 植 入 糖尿病 患 者 体内 。 

该 系统 使 用 一 个 植 人 人 体内 的 微 传感器 来 测量 一 些 血液 参数 ， 这 些 参数 与 血糖 浓度 成 正 
比 。 这 些 参数 被 送 到 和 控制 器 。 控 制 器 计算 血糖 浓度 ， 得 出 胰岛 素 需 要 量 ， 然 后 向 一 个 小 型 
化 的 到 发 送信 号 使 之 通过 持久 连接 的 针头 输送 胰岛 素 。 

图 1-4 给 出 了 胰岛 素 泵 的 硬件 构 
件 和 组 成 结构 。 要 理解 本 书 中 的 这 个 
例子 ， 你 所 要 知道 的 就 是 血液 传感器 
测量 血液 在 不 同情 况 下 的 电 传导 率 ， 
而 这 些 值 是 和 血糖 浓度 相关 的 。 控 制 
佑 发 送 一 个 脉冲 信号 ， 胰 岛 素 泵 就 会 
输送 一 个 单位 的 胰岛 素 。 因 此 输送 10 
个 单位 的 胰岛 素 ， 控 制 器 就 会 向 泵 
发 送 10 个 脉冲 信和 号。 图 1-5 是 一 个 
UML (统一 建 模 语 言 ) 活动 模型 ， 描 
述 了 如 何 将 输入 的 血糖 浓度 值 转换 为 
驱动 胰岛 素 泵 的 命令 序列 。 

显然 ,这 是 一 个 安全 做 关 的 系统 。 如 果 泵 无 法 运行 或 者 运行 出 问题 ， 那 么 将 会 危及 病人 
的 健康 ， 甚 至 使 得 病 大 因 血 糖 浓度 过 低 或 者 过 高 而 引发 昏迷 或 损伤 脏 器 。 因 此 ,该 系统 必须 
满足 以 下 这 两 个 关键 性 的 高 层 需求 : 

1. 当 需 要 时 这 个 系统 应 当 能 够 输送 胰岛 素 ; 

2. 系统 应 当 可 靠 地 运行 ， 并 根据 当前 血糖 浓度 输入 正确 剂量 的 胰岛 素 。 





图 -4 ”胰岛素 泵 的 硬件 体系 结构 
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因此 ， 系 统 的 设计 和 实现 必须 确保 能 满足 这 些 需 求 。 本 书 将 在 后 面 的 章节 介绍 更 多 的 具 
体 需求 ， 并 讨论 如 何 确保 系统 的 安全 性 。 


1.3.2 心理 健康 治疗 病人 信息 系统 


支持 心理 健康 治疗 的 病人 信息 系统 ( Mentcare 系统 ) 是 一 个 医疗 信息 系统 ， 维 护 着 遭遇 
心理 健康 问题 的 病人 信息 以 及 他 们 所 接受 的 治疗 信息 。 大 多 数 有 心理 问题 的 人 不 需要 住院 治 
疗 ， 但 是 需要 定期 去 那些 了 解 他 们 详细 病情 的 专科 诊所 看 医生 。 为 了 方便 病人 看 病 ， 这 些 诊 
所 不 只 是 开 在 医院 里 ， 也 有 可 能 开 在 当地 私人 诊所 或 社区 中 心 。 

Mentcare 系统 (图 1-6) 是 将 要 在 诊所 


ee ee 
客户 端 | 客户 端 | 客户 端 | 
中 式 的 病人 信息 数据 库 ， 但 也 可 以 在 笔记 本 Hga ce i 


电脑 上 使 用 ， 这 使 得 该 系统 可 以 在 没有 安全 
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的 网 络 连接 的 地 方 访问 和 使 用 。 在 有 安全 mae 

的 网 络 连接 时 ， 他 们 使 用 数据 库 中 的 病人 信 

息 ， 但 是 可 以 下 载 病人 记录 的 本 地 拷贝 并 在 
没有 网 络 连接 时 使 用 。 这 个 系统 不 是 一 个 完 Peet Oe 


备 的 医疗 记录 系统 ， 因 此 没有 记录 其 他 的 医 


疗 信息 。 然 而 ， 它 可 以 与 其 他 诊所 信息 系统 ; 
交互 并 交换 数据 。 有 
该 系统 有 以 下 两 个 目的 : 


1. 生 成 管理 信息 ， 使 健康 服务 部 门 能 够 图 1-6 系统 的 组 织 结构 
据 此 评估 本 地 和 政府 目标 的 实现 情况; 

2. 及 时 为 医护 人 员 提 供 相关 信息 以 支持 对 病人 的 治疗 。 

有 心理 健康 问题 的 病人 有 时 候 会 失去 理性 并 有 些 北 乱 ， 因 此 可 能 会 错过 预约 时 间 、 故 意 
或 意外 遗失 处 方 和 药品 、 不 听 医 生 嘱 只 、 对 医护 人 员 提 出 无 理 要 求 、 不 期 而 至 等 。 在 少数 情 
况 下 ， 他 们 还 可 能 对 自己 和 他 人 造成 危害 。 他 们 可 能 经 常 更 换 住址 ， 有 时 会 长 期 或 短期 地 离 
家 出 走 。 如 果 病 人 具有 人 危险 性 ， 那 么 他 们 可 能 需要 被 “隔离 ”， 即 限定 在 一 个 安全 的 医院 接 

该 系统 的 用 户 包 插 诊 所 工作 人 员 ， 例 如 医生 、 护 士 和 健康 随访 员 (上 门 检查 治疗 状况 的 
护士 )。 非 医务 用 户 包括 负责 预约 的 接待 员 、 负 责 维护 系统 医疗 数据 的 工作 人 员 ， 以 及 负责 
生成 报告 的 行政 人 员 。 
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”系统 负责 记录 病人 信息 〈 姓 名、 地址、 年 龄 、 末 属 等 )、 诊 疗 情况 (日 期 、 责 任 医 生 、 对 
病人 的 主观 印象 等 )、 病 人 状况 和 治疗 方案 。 系 统 定期 产生 报告 供 医务 工作 人 员 和 卫生 部 门 
管理 者 使 用 。 通 常 提 供给 医护 人 员 的 报告 关注 的 是 单个 病人 的 信息 ， 而 用 于 提供 给 管理 者 的 
报告 则 会 进行 匿名 化 处 理 ， 主 要 关注 的 是 总 体 状 况 、 治 疗 费 用 等 。 

这 个 系统 的 主要 特征 是 : 

1. 病例 管理 。 医 生 可 以 为 病人 创建 记录 、 在 系统 中 编辑 信息 、 查 看 病人 历史 等 。 系 统 文 
持 数据 汇总 ， 这 样 某 个 先前 未 接触 过 病人 的 医生 也 可 以 快速 了 解 此 病人 的 主要 问题 和 当前 的 
治疗 情况 。 

2. 病人 监测 。 系 统 定期 监测 那些 正在 接受 治疗 的 病人 的 记录 ， 硅 发 现 可 疑问 题 就 会 发 出 
提醒 。 因 此 ， 大 某 个 病人 很 长 时 间 都 没有 看 医生 了 ， 系 统 就 会 发 出 通知 。 此 监测 系统 最 重要 
的 一 个 特点 是 ， 能 够 对 强制 隔离 的 病人 保持 跟踪 ， 以 确保 在 正确 的 时 间 能 够 对 其 进行 合乎 法 
律 要 求 的 例 行 检查 。 : 

3. 管理 报告 。 系 统 产生 月 度 管理 报告 ， 显 示 每 个 诊所 接 治 的 病人 数目 、 进 入 和 离开 护理 
系统 的 病人 数目 、 采 取 强 制 隔离 的 病人 数目 、 处 方药 物 的 使 用 情况 及 其 价格 等 。 

有 两 项 法 律 条 款 影 响 该 系统 。 一 个 是 有 关 个 人 信息 保密 性 的 数据 保护 法 ， 另 一 个 是 有 关 
强制 监禁 被 认为 对 病人 自己 和 他 人 会 造成 伤害 的 病人 的 心理 健康 法 。 心 理 健康 在 这 方面 是 很 
独特 的 ， 因 为 它 是 唯一 可 以 违背 病人 的 意愿 、 建 议 对 其 进行 看 管 的 医学 专业 。 这 是 受到 非常 
严格 的 立法 保护 的 。Mentcare 系统 的 目的 之 一 就 是 确保 工作 人 员 总 是 能 够 按照 法 律 的 规定 工 
作 ， 且 他 们 对 病人 的 所 有 处 置 都 能 被 记录 下 来 并 在 必要 的 时 候 用 于 司法 审查 。 

与 所 有 的 医疗 系统 一 样 ， 隐 私 是 一 个 关键 性 的 系统 需求 。 病 人 信息 是 严格 保密 的 ， 不 能 
暴露 给 除 相关 医护 人 员 和 病人 以 外 的 任何 人 。Mentcare 系统 也 是 一 个 安全 依 关 的 系统 。 一 些 
精神 疾病 可 能 导致 病人 自杀 或 者 对 其 他 人 造成 人 映 伤 害 。 系 统 应 尽 可 能 问 医 护 人 员 和 警示 次 在 
的 有 上 自杀 倾向 或 者 有 危害 倾向 的 病人 。 

系统 的 总 体 设 计 必 须 同 时 考虑 隐私 和 安全 两 个 方面 的 需求 。 系 统 必 须 在 需要 时 是 可 用 
的 ; 否则 安全 性 就 会 大 打折 扣 ， 使 得 医生 无 法 及 时 为 病人 拿 出 正确 的 治疗 方案 。 这 里 存在 一 
个 潜在 的 冲突 。 当 系统 数据 只 有 单个 拷贝 时 ， 隐 私 保 护 是 最 容易 做 到 的 。 然 而 ， 为 确保 在 服 
务 器 失效 或 没有 连接 网 络 时 的 系统 可 用 性 ,需要 维护 多 份 数据 拷贝 。 本 书后 续 章 节 将 会 讨论 
这 些 需 求 之 间 的 权衡 问题 。 


1.3.3 野外 气象 站 


为 了 监控 偏远 地 区 的 气候 变化 、 提 高 气象 预报 的 准确 度 ， 那 些 幅员 辽阔 的 国家 的 政府 会 
选择 在 偏远 地 区 部 署 几 百 个 气象 站 。 这 些 气 象 站 通过 一 组 装置 来 采集 气象 数据 ， 比 如 温度 、 
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野外 气象 站 只 是 一 个 更 大 的 系统 的 一 部 分 
( 见 图 1-7 )， 该 系统 是 一 个 从 气象 站 采集 数据 并 将 
责 收 集 气 象 数据 ， 做 一 些 初始 处 理 ， 然 后 传输 给 “|Station maintenance 
数据 管理 系统 。 图 1-7 气象 站 的 上 下 文 环境 
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其 提供 给 其 他 系统 处 理 的 气象 信息 系统 。 图 1-7 
中 的 系统 包括 : 
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2. 数据 管理 与 存档 系统 (Data management and archiving)。 该 系统 从 所 有 的 野外 气象 站 
收集 数据 ， 进 行 数据 处 理 与 分 析 ， 将 数据 存储 为 容易 被 其 他 系统 (如 天 气 预报 系统 ) 检索 的 
格式 。 

3. 气象 站 维护 系统 ( Station maintenance)。 该 系统 可 以 通过 卫星 与 所 有 野外 气象 站 通 
信 ， 监 控 它 们 的 运行 状态 ， 并 报告 出 现 的 问题 。 还 可 以 更 新 这 些 气象 站 上 的 戏 人 式 软 件 。 当 
某 个 野外 气象 站 系统 出 问题 时 ， 该 系统 还 可 以 用 来 远程 控制 气象 站 系统 。 

图 1-7 中 使 用 UML 包 的 符号 来 表示 每 个 系统 都 是 一 个 构件 的 集合 ， 并 且 采 用 UML 构 
造型 (stereotype) «system» 表示 所 有 的 独立 系统 。 包 之 间 的 关联 表示 包 与 包 之 间 存 在 信息 交 
fe, 但 目前 我 们 没 必要 对 它们 做 更 详细 的 摘 述 。 

每 一 个 气象 站 都 有 许多 采集 各 种 天 气 数 据 的 仪器 ， 比 如 风速 、 风 向 、 气 温 、 气 压 、 
24 小 时 降雨 量 等 。 所 有 这 些 设备 都 是 在 软件 系统 的 控制 下 周期 性 地 读 入 并 管理 所 采集 到 
的 数据 。 

气象 站 系统 进行 气象 数据 观察 的 频率 是 很 高 的 ， 例 如 对 温度 的 测量 需 每 分 钟 进行 一 次 。 
然而 ， 由 于 卫星 带宽 相对 较 罕 ， 气 象 站 系统 需要 在 本 地 对 数据 进行 一 些 处 理 和 存储 。 当 数据 
收集 系统 请 求 数据 时 ， 气 象 站 系统 提交 存储 在 本 地 的 数据 。 如 果 通 信和 连接 不 成 功 ， 气 象 站 系 
统 在 本 地 继续 保留 数据 ， 直 到 通信 恢复 。 

每 个 气象 站 都 是 由 独立 电池 供电 的 ， 而 且 完 全 是 自我 管理 的 ， 没 有 外 部 供电 或 有 线 电 缆 
存在 。 所 有 的 通信 都 是 通过 速度 相对 较 慢 的 卫星 连接 的 。 气 象 站 必须 包含 目 我 充电 的 机 制 ， 
例如 太阳 能 或 风能 。 由 于 它们 是 部 署 在 野外 的 ， 直 接 暴露 在 各 种 恶劣 环境 条 件 下 ， 还 有 可 能 
被 动物 毁坏 。 因 此 气象 站 软件 不 能 仅仅 进行 数据 采集 ， 还 必须 做 到 以 下 几 点 : 

1. 监控 仪器 、 电 源 、 通 信和 硬件 ， 并 向 管理 系统 报告 故障 。 

2. 管理 系统 电源 ， 确 保 电 池 在 环境 条 件 允 许 的 情况 下 能 够 充电 ， 也 确保 在 恶劣 天 气 情 况 
(例如 大 风 天 气 ) 下 及 时 关闭 发 电机 以 免 受 到 破坏 。 

3. 允许 动态 配置 ， 在 部 分 软件 版 本 更 新 时 或 者 当 系 统 失效 而 切换 备份 装置 时 。 

气象 站 必须 是 自我 管理 和 无 人 看 管 的 。 这 就 意味 着 尽管 数据 采集 功能 本 号 相对 简单， 但 
所 安装 的 软件 是 复生 的 。 


1.34 ”学 校 数字 化 学 习 环 境 


许多 教师 都 认为 使 用 交互 式 软件 系统 来 文 持 教育 既 可 以 提高 学 习 者 的 兴趣 又 可 以 使 得 学 
生 更 深刻 地 理解 知识 。 然 而 ， 对 于 什么 是 “最 好 的 ”计算 机 支持 的 学 习 策 略 并 没有 广泛 共 
识 。 在 实践 中 ,教师 通常 会 使 用 多 种 不 同 的 交互 式 、 基 于 Web 的 工具 来 支持 学 习 。 所 用 的 
工具 取决 于 学 习 者 的 年 龄 、 他 们 的 文化 背景 、 他 们 的 计算 机 使 用 经 验 、 可 用 的 设备 以 及 相关 
教师 的 偏好 等 。 

数字 化 学 习 环 境 是 一 个 框架 ， 其 中 包含 一 些 通用 工具 以 及 一 些 针 对 特殊 目的 设计 的 工 
A, 外 加 一 组 满足 使 用 该 系统 的 用 户 需 求 的 应 用 。 该 框架 提供 了 身份 认证 服务 、 同 步 和 异步 
通信 服务 以 及 存储 服务 等 通用 服务 。 

该 环境 的 每 一 个 版 本 中 所 包含 的 工具 由 教师 和 学 习 者 根据 他 们 目 己 的 需要 来 选择 。 这 些 
工具 可 以 是 电子 表格 等 通用 的 应 用 ， 也 可 以 是 管理 作业 提交 和 评分 、 游 戏 和 模拟 的 虚拟 学 习 
环境 (Virtual Learning Environment, VLE) 等 学 习 管 理应 用 。 它 们 还 可 以 包括 一 些 特定 的 内 
容 ， 例 如 关于 美国 内 战 的 内 容 以 及 观看 和 标注 内 容 的 应 用 。 
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”图 1-8 是 一 个 面向 3 ~~ 18 岁 学 生 在 校内 使 用 的 数字 化 学 习 环 境 ( iLearmn) 的 高 层 体系 结 
构 模 型 。 这 里 采用 了 分 布 式 系统 设计 ， 其 中 
该 学 习 环 境 所 有 的 构件 都 是 可 以 从 互联 网 上 
任何 地 方 访问 的 服务 。 不 要 求 所 有 的 学 习 工 
具 汇 集 在 一 个 地 方 。 

该 系统 是 一 个 面向 服务 的 系统 ， 其 中 
所 有 的 系统 构件 都 被 认为 是 一 个 可 蔡 换 的 服 
务 。 该 系统 中 有 以 下 3 种 类 型 的 服务 。 

1. 公共 服务 。 提 供与 应 用 无 关 的 基础 ir vet pact 
功能 ， 可 以 被 系统 中 的 其 他 服务 所 使 用 。 虚拟 学 习 环境 l onan 
公共 服务 通常 是 特别 针对 该 系统 开发 或 修 
改 的 。 

2. 应 用 服务 。 提 供 特定 的 应 用 (例如 邮 
件 、 会 议 、 图 片 共 享 等 ) 以 及 针对 特定 教育 
内 容 (例如 科学 电影 或 历史 资源 ) 的 访问 手 
段 。 应 用 服务 是 为 该 系统 特别 购买 的 或 从 互 
联网 上 免费 获取 的 外 部 服务 。 

3. 配置 服务 。 用 于 使 用 特定 的 应 用 服务 集合 对 学 习 环 境 进行 调整 和 设置 ， 并 定义 如 何在 
学 生 、 教 师 以 及 学 生父 母 之 间 共 享 服务 。 

该 学 习 环 境 的 设计 使 得 服务 可 以 在 有 了 新 服务 之 后 进行 蔡 换 ， 从 而 可 以 提供 该 系统 的 
不 同 版 本 以 适应 不 同年 龄 的 用 户 的 需要 。 这 意味 着 该 系统 必须 支持 以 下 两 个 层次 上 的 服务 
集成 。 

1. 集成 服务 ， 提 供应 用 编程 接口 ( Application Programming Interface，API)， 其 他 服务 i 
可 以 通过 API 进行 访问 。 这 样 一 来 ， 服 务 到 服务 的 直接 通信 就 成 为 可 能 。 身 份 认 证 服务 是 
一 个 集成 服务 的 例子 。 其 他 服务 可 以 调用 身份 认证 服务 来 对 用 户 进 行 认 证 ， 而 不 是 使 用 上 自己. 
的 认证 机 制 。 如 果 用 户 已 经 通过 认证 ， 身 份 认证 服务 可 以 通过 API 将 认证 信息 直接 发 送 给 
另 一 个 服务 ， 用 户 不 需要 重新 对 目 己 进行 认证 。 

2. 独立 服务 ， 其 运行 与 其 他 服务 无 关 ， 可 以 直接 通过 浏览 硕 界 面 进行 访问 。 可 以 通过 显 
式 的 用 户 动作 《例如 复制 粘贴 ) 与 其 他 服务 共享 信息 。 每 个 独立 服务 都 可 能 会 要 求 重新 进行 
身份 认证 。 

如 果 一 个 独立 服务 得 到 了 广泛 使 用 ， 开 发 团队 可 以 集成 该 服务 ， 从 而 使 之 成 为 一 个 集成 
的 和 支持 性 的 服务 。 
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o 软件 工程 是 一 门 覆 盖 软 件 生 产 的 各 个 方面 的 工程 学 科 。 

© 软件 不 仅 是 程序 ， 还 包括 系统 用 户 、 质 量 保 证 人 员 以 及 开发 者 所 需要 的 所 有 电子 文 
档 。 软 件 产 品 的 基本 属性 是 可 维护 性 、 可 依赖 性 、 信 息 安全 性 、 效 率 以 及 可 接受 性 。 

e 软件 过 程 包括 软件 开发 过 程 中 所 涉及 的 所 有 活动 。 软 件 规格 说 明 、 开 发 、 确 认 和 演 
化 这 些 高 层 活动 是 所 有 软件 过 程 中 的 一 部 分 。 

o 世界 上 存在 着 很 多 不 同类 型 的 系统 。 每 一 种 类 型 的 系统 的 开发 都 需要 一 种 与 之 相 适 






图 1-8 数字 化 学 习 环 境 (iLearn) 的 体系 结构 
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应 的 软件 工程 工具 和 技术 。 几 乎 不 存在 适用 于 所 有 类 型 的 系统 的 软件 设计 和 实现 技术 。 

© 软件 工程 的 基本 思想 适用 于 所 有 的 软件 系统 。 这 些 基本 思想 包括 受 管理 的 软件 过 程 、 
软件 的 可 依赖 性 和 信息 安全 性 、 需 求 工程 和 软件 复 用 。 

© 软件 工程 师 对 软件 工程 行业 和 整个 社会 负 有 责任 ， 不 应 该 只 关心 技术 问题 ， 而 应 该 
对 影响 他 们 工作 的 道德 问题 有 所 知晓 。 

© 职业 协会 发 布 的 行为 准则 定义 了 道德 和 职业 标准 。 这 些 准则 为 协会 成 员 设 定 了 所 期 
望 的 行为 标准 。 


阅读 推荐 


《 Software Engineering Code of Ethics Is Approved 》 这 篇 文章 介绍 了 制定 ACM/IEEE 职业 


道德 准则 的 背景 ， 该 准则 包括 一 个 简要 版 和 一 个 较 长 的 版 本 。(Comm. ACM, D. Gotterbarn ,及 . 
Miller, and S. Rogerson, October 1999 ) http://dx.doi. org/10.1109/MC.1999.796142 


《 A View of 20th and 21st Century Software Engineering 》 这 本 书 是 第 一 代 最 杰出 的 软 


件 工程 师 对 软件 工程 的 回顾 和 展望 。Barry Boehm 指出 了 一 些 永恒 的 软件 工程 原则 ， 但 也 
认为 一 些 广泛 使 用 的 实践 已 经 过 时 了 。( B. Boehm, Proc. 28th Software Engineering Conf., 
Shanghai. 2006 ) http://dx.doi. org/10.1145/1134285.1134288 


4 


《 Software Engineering Ethics 》 是 《 IEEE Computer 》 的 一 个 专刊 ， 其 中 有 一 些 关 于 此 


问题 的 文章 。(IEEE Computer, 42 (6), June 2009 ) 


《 Ethics for the Information Age 》 是 一 本 内 容 很 丰富 的 书 ， 其 中 覆盖 了 信息 技术 (IT) 道 


德 的 所 有 方面 ， 不 仅 是 针对 软件 工程 师 的 道德 要 求 。 这 是 正确 的 方法 ， 因 为 你 真 的 需要 在 一 
个 更 广阔 的 道德 框架 下 去 理解 软件 工程 道德 。(M. J. Quinn, 2013, Addison-Wesley ) 


《 The Essence of Software Engineering: Applying the SEMAT kernel 》 这 本 书 讨 论 了 建立 


一 种 支撑 所 有 的 软件 工程 方法 的 通用 框架 的 思想 。 该 框架 可 以 通过 适应 性 修改 被 用 于 各 种 不 
同类 型 的 系统 和 组 织 。 我 个 人 对 这 样 一 种 通用 的 方法 在 实践 中 是 否 具有 现实 性 有 所 怀疑 ,但 
本 书 中 有 一 些 有 趣 的 思想 值得 尝试 。(I. Jacobsen, P-W Ng, P. E. McMahon, I. Spence, and 
S. Lidman, 2013, Addison-Wesley ) 


网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap 1/ 
文 持 视频 的 链接 http://software-engineering-book.com/videos/software-engineering/ 
案例 研究 描述 的 链接 : http://software-engineering-book.com/case-studies/ 
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为 什么 面 癌 一 个 客户 开发 的 专业 化 软件 不 仅仅 包含 所 开发 和 交付 的 程序 ? 

通用 的 软件 产品 开发 和 定制 化 软件 开发 之 间 最 重要 的 区 别 是 什么 ”这 在 实践 中 对 于 通 
用 软件 产品 的 用 户 意味 着 什么 ? 

软件 产品 应 该 具有 的 4 个 重要 属性 是 什么 ? 男 外 举 出 4 个 可 能 有 意义 的 属性 。 
除了 异 构 性 、 企 业 和 社会 的 变革 、 可 信和 信息 安全 之 外 ,说 一 说 软件 工程 在 21 世纪 有 
可 能 面 对 的 其 他 问题 和 挑战 (提示 : 想 一 想 环境 )。 

参考 1.1.2 他 讨 论 的 应 用 类 型 ， 举 例 说 明 为 什么 设计 和 开发 不 同类 型 的 应 用 需要 特殊 化 
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的 软件 工程 技术 。 

解释 为 什么 过 程 、 可 依赖 性 、 需 求 管理 、 复 用 这 些 基本 的 软件 工程 原则 与 所 有 类 型 的 
软件 系统 都 相关 。 

解释 Web 的 普遍 使 用 是 如 何 改 变 软 件 系 统 和 软件 系统 工程 的 。 

讨论 一 下 职业 工程 师 是 否 应 该 和 医生 或 律师 一 样 颁发 资格 证 书 。 

对 图 1-4 中 的 ACM/IEEE 职业 道德 准则 中 的 每 一 条 举 出 一 个 恰当 的 例子 加 以 说 明 。 
为 了 反恐 ， 很 多 国家 正 计 划 开 发 或 正在 开发 一 种 对 其 大 量 公 民 及 其 行动 跟踪 的 计算 机 
系统 。 显 然 这 是 侵犯 个 人 隐私 权 的 做 法 。 对 开发 此 类 系统 的 道德 伦理 问题 进行 讨论 。 
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软件 过 程 





目标 


本 章 的 目标 是 介绍 软件 过 程 (软件 生产 的 一 组 相互 连贯 的 活动 ) 的 思想 。 读 完 本 章 ， 你 将 : 

o 理解 软件 过 程 和 软件 过 程 模型 的 概念 ; 

e 了 解 3 个 通用 的 软件 过 程 模型 以 及 它们 的 适用 情形 ; 

o 了 解 需求 工程 、 开 发 、 测 试 和 演化 这 几 个 基本 的 软件 过 程 活动 ; 

o 理解 为 什么 软件 过 程 要 有 效 地 组 织 以 应 对 软件 需求 和 设计 上 的 变化 ; 

o 理解 软件 过 程 改 进 的 思想 以 及 影响 软件 过 程 质量 的 因素 
”软件 过 程 是 完成 软件 产品 生产 的 一 组 相互 关联 的 活动 。 如 第 1 章 中 所 述 ， 有 许多 不 同类 
型 的 软件 系统 ， 没 有 放 之 四 海 而 丝 准 、 适 用 于 所 有 类 型 系统 的 软件 工程 方法 。 因 此 ， 也 没有 
放 之 四 海 而 皆 准 的 软件 过 程 。 不 同 企业 中 所 使 用 的 过 程 取决 于 所 开发 的 软件 的 类 型 、 软 件 客 
户 的 需求 以 及 开发 软件 的 人 的 技能 

虽然 有 许多 不 同 的 软件 过 程 ， 但 它 它们 都 必须 以 某 种 形式 包含 在 本 书 第 1 章 所 介绍 的 4 个 
最 基本 的 软件 工程 活动 中 : 

1. 软件 规格 说 明 。 软 件 的 功能 以 及 对 于 软件 运行 的 约束 必须 在 这 里 进行 定义 。 

2. 软件 开发 。 必 须 开 发 出 符合 规格 说 明 的 软件 。 

3. 软件 确认 。 软 件 必 须 通 过 确认 来 确保 软件 所 做 的 是 客户 所 想 要 的 。 

4. 软件 演化 。 软 件 必须 通过 演化 来 满足 不 断 变化 的 客户 需要 。 

这 些 活 动 本 身 也 是 复杂 的 活动 ， 还 会 包括 一 些 子 活动 ， 例 如 需求 确认 、 体 系 结构 设计 、 
单元 测试 等 。 软 件 过 程 还 包括 其 他 一 些 活动 ， 例 如 软件 配置 管理 、 项 目 计 划 等 文 持 软件 生产 
活动 的 活动 。 

当 我 们 描述 和 讨论 所 谓 的 软件 过 程 时 ， 我们 总 是 在 谈论 过 程 中 的 活动 (如 数据 模型 的 定 
义 、 用 户 界 面 设 计 等 ) 以 及 这 些 活动 的 顺序 。 我 们 可 以 将 过 程 与 人 们 开发 软件 所 做 的 所 有 事 
情 联系 到 一 起 。 然 而 ， 当 描述 过 程 时 ， 重 要 的 是 描述 涉及 哪些 人 、 产 生 了 什么 以 及 影响 活动 
序列 的 条 件 ， 具 体 如 下 。 

1 .产品 交付 物 是 软件 过 程 活动 的 产 出 物 。 例 如 ， 体 系 结构 设计 活动 的 产 出 物 是 软件 体系 
结构 模型 。 

2. 角色 反映 了 参与 过 程 的 人 在 其 中 的 职责 。 角 色 的 例子 包括 项 目 经 理 、 配 置 经 理 、 程 序 
员 等 。 

3. 前 置 和 后 置 条 件 是 指 在 一 个 过 程 活动 执行 之 前 和 之 后 或 者 产品 生产 之 前 或 之 后 必须 
满足 的 条 件 。 例 如 在 体系 结构 设计 开始 之 前 ,一 个 前 置 条 件 可 能 是 客户 已 经 认可 了 所 有 的 需 
求 ; 在 此 活动 结束 之 后 ,一 个 后 置 条 件 可 能 是 描述 体系 结构 的 UML 模型 已 经 进行 了 评审 。 

软件 过 程 是 复杂 的 ， 而 且 像 所 有 智力 和 创造 性 过 程 一 样 ， 依 赖 于 人 们 的 主观 决策 和 判 
断 。 由 于 并 不 存在 放 之 四 海 而 丝 准 、 适 用 于 所 有 类 型 软件 的 过 程 ， 大 多 数 软 件 企业 都 制定 了 
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自己 的 开发 过 程 。 软 件 过 程 在 不 断 演 化 以 充分 利用 组 织 中 的 软件 开发 者 的 能 力 以 及 所 开发 的 
系统 的 特性 。 对 于 安全 依 关 系统 ， 需 要 一 个 非常 结构 化 的 开发 过 程 ， 其 中 要 保存 详细 的 记 
录 。 对 于 业务 系统 ， 由 于 需要 适应 快速 变化 的 需求 ， 因 此 一 个 更 加 灵活 、 人 敏捷 的 过 程 可 能 
更 好 。 

如 第 1 曹 所 述 ， 专 业 软 件 开发 是 一 个 受 管理 的 活动 ， 因 此 计划 是 所 有 过 程 的 一 个 固有 
部 分 。 计 划 驱 动 的 过 程 是 提前 计划 好 所 有 的 过 程 活动 ， 然 后 按 计 划 去 衡量 进度 。 在 敏捷 过 程 
( 见 第 3 章 ) 中 ,计划 是 在 软件 开发 过 程 中 增 量 和 持续 进行 的 ， 这样 就 可 以 很 容 匈 调整 过 程 
以 反映 不 断 变 化 的 客户 或 产品 需求 。 正 如 Boehm 和 Turner ( Boehm and Turner 2004 ) 所 说 ， 
每 种 方法 适合 于 不 同类 型 的 软件 。 通 和 常 ， 对 于 大 系统 ， 你 需要 在 计划 驱动 的 过 程 和 敏捷 过 程 
之 加 做 出 权衡 。 

虽然 没有 放 之 四 海 而 缘 准 的 软件 过 程 ， 许 多 组 织 中 仍然 存在 很 大 的 软件 过 程 改 进 空 间 。 
这 些 组 织 的 过 程 中 可 能 包括 落后 的 技术 ， 或 者 没有 充分 利用 工业 界 的 许多 软件 工程 最 佳 实 
践 。 其 至 许多 组 织 还 没有 在 自己 的 软件 开发 过 程 中 系统 性 地 采用 软件 工程 方法 。 他 们 可 以 通 
过 引入 UML 建 模 和 测试 驱动 的 开发 等 技术 来 改进 自己 的 过 程 。 本 章 后 面 将 简要 介绍 软件 过 
程 改进 ， 而 在 线 章 节 中 的 第 26 章 中 进一步 详细 介绍 了 软件 过 程 改 进 。 


2.1 软件 过 程 模型 


如 第 1 章 所 述 ， 软 件 过 程 模型 (有 时 也 称 为 软件 开发 生命 周期 或 SDLC 模型 ) 是 软件 
过 程 的 简化 表示 。 每 个 过 程 模型 都 是 从 一 个 特定 的 侧面 表现 软件 过 程 ， 所 以 只 提供 过 程 的 
部 分 信息 。 例 如 ， 过 程 活动 模型 描述 了 活动 和 它们 的 顺序 ， 但 是 可 能 表现 不 出 人 们 在 这 些 
活动 中 的 角色 。 这 一 节 中 将 介绍 几 个 非常 通用 的 过 程 模型 (有 时 也 叫 作 过 程 范 型 process 
paradigms) )， 并 从 一 个 体系 结构 的 视角 呈现 这 些 过 程 模 型 ， 即 只 关心 过 程 的 框架 而 忽略 过 程 
活动 的 细节 。 i 

这 些 通用 过 程 模型 是 软件 过 程 的 高 层 和 抽象 描述 ， 能 用 于 解释 不 同 的 软件 开发 方法 。 你 
可 以 将 它们 视 为 一 种 过 程 框架 ， 可 以 通过 扩展 和 调整 来 创建 更 加 特定 的 软件 工程 过 程 。 

本 章 讨论 的 几 个 通用 过 程 模型 如 下 。 

1. 瀑布 模型 。 该 模型 包含 了 基本 的 过 程 活动 ( 即 规格 说 明 、 开 发 、 确 认 、 演 化 )， 并 将 
它们 表示 为 独立 的 过 程 阶段 ， 例 如 需求 规格 说 明 、 软 件 设 计 、 实 现 、 测 试 。 

2. 增 量 式 开 发 。 该 方法 使 得 规格 说 明 、 开 发 和 确认 活动 交错 进行 。 系 统 开发 体现 为 一 系 
列 的 版 本 ( 增 量 )， 每 个 版 本 在 前 一 版 本 的 基础 上 增加 一 些 功能 。 

3. 集成 和 配置 。 该 方法 依赖 于 可 复 用 的 构件 或 系统 。 系 统 开 发 过 程 关注 在 新 的 使 用 环境 
中 配置 这 些 构件 并 将 它们 集成 为 一 个 系统 。 

如 前 所 述 ， 没 有 放 之 四 海 而 各 准 、 适 用 于 所 有 不 同类 型 软件 开发 的 过 程 模 型 。 正 确 的 过 
程 取决 于 客户 和 管理 需求 、 软 件 使 用 所 处 的 环境 ， 以 及 所 开发 的 软件 类 型 。 例 如 ， 一 个 安全 
依 关 软件 通常 使 用 瀑布 过 程 进行 开发 ， 因 为 在 实现 开始 前 需要 进行 大 量 的 分 析 和 文档 化 。 软 
件 产品 现在 总 是 用 增 量 的 过 程 模型 来 开发 。 业 务 系统 正 越 来 越 多 地 通过 配置 和 集成 已 有 的 系 
统 来 构造 具有 所 需 功 能 的 新 系统 。 

实践 中 的 软件 过 程 大 多 数 都 建立 在 通用 过 程 模型 基础 上 ， 但 经 常会 结合 其 他 模型 的 特 
性 。 大 规模 系统 工程 尤其 如 此 。 对 于 大 规模 系统 ， 将 所 有 通用 过 程 中 的 一 些 最 好 的 特性 结合 
到 一 起 是 有 意义 的 。 你 必须 知道 系统 的 核心 需求 ， 设 计 系统 的 软件 体系 结构 以 支持 这 些 需 
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求 。 这 是 不 能 增 量 式 开发 的 。 这 些 大 系统 中 的 子 系统 可 以 使 用 不 同 的 开发 方法 。 系 统 中 的 一 
些 部 分 已 经 得 到 了 很 好 的 理解 ， 可 以 使 用 基于 瀑布 模型 的 过 程 进 行规 格 说 明和 开发 ， 或 者 
可 以 作为 成 品系 统 买 人 并 进行 配置 。 而 那些 很 难 提前 清楚 刻画 的 部 分 则 要 采用 增 量 的 开发 方 
法 。 这 两 种 情况 下 ， 软 件 构件 都 很 有 可 能 得 到 复 用 。 

有 一 些 组 织 和 人 试图 在 所 有 这 些 通用 模型 基础 上 开发 出 一 种 “普遍 适用 ”的 过 程 模型 。 
这 些 “ 普 遍 适 用 ”的 过 程 模型 中 最 广为人知 的 一 个 是 由 美国 的 软件 工程 公司 Rational 开发 的 
Rational 统一 过 程 (Rational Unified Process, RUP) (Krutchen 2003 )。RUP 是 一 种 灵活 的 模 
型 ， 可 以 通过 不 同 的 方式 进行 实例 化 以 创建 与 这 里 所 介绍 的 任何 一 个 通用 过 程 模型 相似 的 过 
程 。RUP 在 一 些 大 型 软件 公司 (特别 是 IBM) 得 到 了 采用 ， 但 并 没有 被 广泛 接受 。 










Rational 统一 过 程 
Rational 统一 过 程 ( Rational Unified Process, RUP) 将 这 里 介绍 的 所 有 通用 过 程 模型 
的 元 素 聚集 在 一 起 ， 支 持原 型 构造 和 软件 的 增 量 交付 ( Krutchen 2003 )。RUP 通常 可 以 从 
3 个 视角 进行 描述 : 动态 视角 显示 模型 在 时 间 上 的 各 个 阶段 ; 静态 视角 显示 过 程 活动 ; 实 
践 视角 推荐 过 程 中 可 以 使 用 的 好 的 实践 。RUP 的 阶段 包括 : 初 识 阶段 ， 将 建立 系统 的 业 
务 案例 ; 细 化 阶段 ， 将 开发 需求 和 体系 结构 ; 构造 阶段 ， 将 对 软件 进行 实现 ; 转移 阶段 ， 
将 对 软件 进行 部 署 。 
http://software-engineering-book.com/web/rup/ 





2.1.1 瀑布 模型 


最 早出 现 的 软件 开发 过 程 模 型 起 源 于 大 型 军事 系统 工程 中 所 使 用 的 工程 过 程 模型 
(Royce 1970 )。 该 模型 将 软件 开发 过 程 表 示 为 一 些 阶 段 ， 如 图 2-1 所 示 。 由 于 该 模型 从 一 个 
阶段 流动 到 男 一 个 阶段 ， 因 此 该 模型 被 广泛 称 为 瀑布 模型 或 者 软件 生命 周期 模型 。 泽 布 模型 
是 计划 驱动 的 软件 过 程 的 一 个 例子 。 原 则 上 ， 至 少 应 该 在 软件 开发 开始 之 前 对 所 有 的 过 程 活 
动 进行 计划 和 进度 安排 。 
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瀑布 模型 中 的 阶段 直接 反映 以 下 这 些 基本 的 软件 开发 活动 。 | 

1. 需求 分 析 和 定义 。 通 过 咨询 系统 用 户 建立 系统 的 服务 、 约 束 和 目标 ， 详 细 定义 这 些 信 
息 并 作为 系统 的 规格 说 明 。 

2. 系统 和 软件 设计 。 系 统 设计 过 程 将 需求 分 配 到 硬件 或 软件 系统 上 ， 建 立 一 个 总 体 的 系 
统 体系 结构 。 软 件 设计 涉及 识别 并 描述 基本 软件 系统 抽象 以 及 它们 之 间 的 关系 。 

3. 实现 和 单元 测试 。 在 此 阶段 ， 将 软件 设计 实现 为 一 组 程序 或 程序 单元 。 单 元 测试 验证 
每 个 单元 是 否 满足 其 规格 说 明 。 

4. 集成 和 系统 测试 。 各 个 程序 单元 或 程序 被 集成 为 一 个 完整 的 系统 ， 并 进行 测试 以 保证 
软件 需求 都 得 到 了 满足 。 测 试 之 后 ， 软 件 系统 被 交付 给 客户 。 

5. 运行 和 维护 。 通 常 这 是 时 间 最 长 的 一 个 生命 周期 阶段 。 系 统 被 安装 并 投入 实践 使 用 。 
维护 包括 修复 没有 在 生命 周期 早期 阶段 发 现 的 错误 、 改 进 系 统 单元 的 实现 、 随 着 新 需求 的 发 
现 而 对 系统 的 服务 进行 提升 。 


© Boehm 的 螺旋 过 程 模型 


Barry Boehm， 软 件 工 程 的 先驱 之 一 ， 提 出 了 一 种 风险 驱动 的 增 量 过 程 模型 。 这 个 模 
型 将 过 程 表示 为 一 个 螺旋 而 不 是 活动 序列 (Boehm 1988 ) 。 

螺旋 中 的 每 一 个 循环 表示 软件 过 程 中 的 一 个 阶段 。 这 样 ， 最 里 面 的 循环 可 能 关注 系 
统 可 行 性 ， 接 下 来 的 循环 关注 需求 定义 ， 然 后 是 系统 设计 ， 等 等 。 螺 旋 模 型 将 变更 避免 与 
变更 容忍 结合 到 了 一 起 。 它 假设 变更 是 项 目 风险 的 结果 ， 因 此 包含 了 显 式 的 风险 管理 活动 
来 降低 这 些 风险 。 


http://software-engineering-book.com/web/spiral-model/ 





原则 上 ， 瀑 布 模型 中 每 个 阶段 的 结果 是 一 个 或 多 个 审批 通过 (批准 ) 的 文档 。 后 续 的 阶 
段 在 前 一 阶段 结束 前 不 应 该 开始 。 对 于 包含 很 高 的 制造 成 本 的 硬件 开发 这 是 有 合理 的 。 然 
而 ， 对 于 软件 开发 ， 这 些 阶 段 存在 重 琶 并 相互 反馈 信息 。 在 设计 过 程 中 可 能 发 现 需求 的 问 
题 ; 在 编码 过 程 中 可 能 发 现 设计 的 问题 等 。 实 践 中 的 软件 过 程 从 来 就 不 是 一 个 简单 的 线性 模 
型 ， 而 是 包含 从 一 个 阶段 到 男 一 个 阶段 的 反馈 。 

如 果 一 个 过 程 阶段 中 出 现 新 的 信息 ， 那 么 此 前 阶段 产生 的 文档 应 当 进行 修改 以 反映 所 需 
的 系统 变化 。 例 如 ， 如 果 发 现 一 个 需求 实现 起 来 代价 很 高 ， 那 么 需求 文档 应 当 进 行 修改 以 移 
除 该 需求 。 然 而 ， 这 需要 客户 同意 并 会 延迟 总 体 开发 过 程 。 

其 结果 是 ， 客 户 和 开发 者 可 能 过 早 地 冻结 了 软件 规格 说 明 ， 从 而 使 其 不 会 发 生 进一步 的 
变化 。 不 幸 的 是 ， 这 意味 着 问题 遗留 下 来 待 后 面 解 决 、 问 题 被 忽略 或 规避 。 过 早 地 冻结 需求 
可 能 意味 着 系统 不 会 实现 用 户 想 要 的 东西 。 如 果 通 过 实现 上 的 小 技巧 规避 设计 问题 ， 那 么 可 
能 导致 结构 很 差 的 系统 。 

在 最 终 的 生命 周期 阶段 (运行 和 维护 ) 中 ， 软 件 投入 使 用 。 在 此 阶段 会 发 现 最 初 的 软件 
需求 中 的 一 些 错误 和 遗漏 。 程 序 和 设计 错误 会 出 现 ， 还 可 能 会 产生 新 的 功能 性 需求 。 因 此 ， 
系统 必须 通过 演化 来 保持 有 用 。 实 施 这 些 变 更 (软件 维护 ) 可 能 要 重复 进行 此 前 的 过 程 阶段 。 

在 现实 中 ， 软 件 必须 在 开发 过 程 中 保持 灵活 并 容纳 变更 。 瀑 布 模型 要 求 早 期 的 承诺 并 且 
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在 实施 变更 时 要 进行 系统 返工 。 这 意味 着 瀑布 模型 只 适用 于 以 下 这 些 类 型 的 系统 。 

1. 移入 式 系 统 ， 其 中 软件 必须 与 硬件 系统 连接 和 交互 。 由 于 硬件 不 灵活 ， 将 软件 功能 的 
决策 推迟 到 开发 时 通常 不 可 行 。 

2. 关键 性 系统 ， 要 求 对 软件 规格 说 明和 设计 的 安全 性 和 信息 安全 进行 全 面 的 分 析 。 在 这 
些 系统 中 ， 规 格 说 明和 设计 文档 必须 完整 ， 使 得 这 些 分 析 成 为 可 能 。 在 实现 阶段 修复 规格 说 
明和 设计 中 与 安全 相关 的 问题 通常 非常 昂贵 。 

3. 大 型 软件 系统 ， 属 于 更 广阔 的 由 多 家 合作 企业 共同 开发 的 工程 化 系统 的 一 部 分 。 系 
统 中 的 硬件 可 能 使 用 相似 的 模型 开发 ， 相 关 企 业 发 现 使 用 同样 的 模型 进行 硬件 和 软件 开发 更 
容易 一 些 。 而 且 ， 由 于 涉及 多 家 企业 ， 可 能 需要 完整 的 规格 说 明 以 使 不 同 的 子 系统 可 以 独立 
开发 。 

如 果 团 队 沟 通 可 以 采取 非 正式 的 方式 并 且 软 件 需求 快速 变化 ,那么 瀑布 模型 并 不 是 正确 
的 过 程 模 型 选择 。 和 迭代 化 的 开发 以 及 敏捷 方法 对 于 这 些 系统 是 更 好 的 选择 。 

瀑布 模型 的 一 个 重要 的 变 体 是 形式 化 的 系统 开发 ， 其 中 会 创建 系统 规格 说 明 的 数学 模 
型 。 该 模型 接 下 来 会 通过 使 用 保持 一 致 性 的 数学 变换 精 化 为 可 执行 的 代码 。 形 式 化 的 开发 过 
程 ， 例 如 基于 B 方法 (Abrial 2005, 2010) 的 过 程 ， 主 要 用 于 有 着 严格 的 安全 性 、 可 靠 性 或 
信息 安全 需求 的 软件 系统 开发 。 形 式 化 方法 简化 了 安全 性 或 信息 安全 案例 的 产生 。 这 向 客户 
或 监管 者 显示 了 系统 实际 上 满足 它 的 安全 性 或 信息 安全 需求 。 然 而 ， 由 于 开发 形式 化 规格 说 
明 很 昂贵 ， 这 一 开发 模型 除了 关键 性 系统 工程 外 很 少 被 使 用 。 


2.1.2 增 量 式 开发 


增 量 式 开 发 的 思想 是 先 开 发 出 一 个 初始 的 实现 ， 然 后 从 用 户 那 里 获取 反馈 并 经 过 多 个 版 
本 的 演化 直至 得 到 所 需要 的 系统 ( 见 图 2-2 )。 规 格 说 明 、 开 发 和 确认 等 活动 不 是 分 离 的 而 是 
交织 在 一 起 ,活动 之 间 存 在 快速 的 反馈 。 在 某 种 形式 上 ， 增 量 开 发 现在 已 经 成 为 最 常用 的 应 
用 系统 和 软件 产品 开发 方法 。 该 方法 可 以 是 计划 驱动 的 、 敏 捷 的 ， 或 者 更 为 常见 的 是 这 些 方 
法 的 混合 。 在 计划 驱动 的 增 量 式 开发 中 ， 系 统 的 增 量 是 提前 确定 的 ; 如 果 采 用 敏捷 方法 ， 那 
么 早期 的 增 量 是 确定 好 的 ， 但 后 面 的 增 量 开发 则 取决 于 进度 和 客户 优先 级 。 
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图 2-2 增 量 式 开 发 


对 于 开发 过 程 中 需求 很 容易 发 生变 化 的 系统 而 言 ， 增 量 式 软件 开发 (敏捷 方法 的 一 个 基 
础 构成 部 分 ) 是 一 个 比 瀑布 模型 方法 更 好 的 选择 。 大 部 分 业务 系统 和 软件 产品 都 是 这 样 的 。 
兽 量 式 开 发 反映 了 我 们 解决 问题 的 方式 。 我 们 很 少 提前 制定 出 完整 的 问题 解决 方案 ， 而 是 逐 
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发 过 程 中 进行 变更 的 成 本 会 更 低 也 更 容易 。 

系统 的 每 一 个 增 量 或 版 本 都 包括 用 户 需要 的 一 部 分 功能 。 通 前 ， 系 统 的 早期 增 量 包括 最 
重要 或 最 紧急 的 功能 性 需求 。 这 就 意味 着 客户 或 用 户 可 以 在 相对 比较 早 的 阶段 对 系统 进行 评 
估 ， 以 确定 系统 是 否 提 供 了 所 需要 的 需求 。 假 如 不 满足 需要 ， 那 么 只 需要 对 当前 的 增 量 进行 
变更 ， 也 有 可 能 为 后 续 的 增 量 定义 新 功能 。 

增 量 式 开 发 与 瀑布 模型 相 比 有 以 下 3 个 主要 的 优势 。 

1. 降低 了 实现 需求 变更 的 成 本 。 较 之 瀑布 模型 ， 重新 分 析 和 修改 文档 的 工作 量 要 少 
很 多 。 

2. 在 开发 过 程 中 更 容易 得 到 客户 对 于 已 完成 的 开发 工作 的 反馈 意见 。 客 户 可 以 对 软件 的 
演示 版 本 进行 评价 ， 并 可 以 看 到 需求 已 经 实现 了 多 少 。 客 户 通常 都 会 感觉 从 软件 设计 文档 中 
判断 项 目 进度 很 困难 。 

3. 即使 并 未 将 所 有 的 功能 包含 其 中 ， 也 使 得 在 早期 问 客户 交付 和 部 车 有 用 的 软件 成 为 可 
能 。 与 瀑布 模型 相 比 ， 客 户 可 以 更 早 地 使 用 软件 并 从 中 获得 价值 。 
















© 增 量 式 开发 的 问题 


尽管 增 量 式 开 发 有 很 多 优点 ， 但 也 存在 一 些 问 题 。 寻 和 致 困难 的 主要 原因 是 ， 大 型 组 
织 的 官僚 办 事 规程 随 着 时 间 的 推移 已 经 根深 蒂 固 ， 这 些 办 事 规程 与 更 加 灵活 的 选 代 和 敏捷 
过 程 可 能 不 太 不 匹配 。 

有 时 候 这 些 办 事 规程 是 有 其 存在 的 充分 理由 的 ,例如 有 些 规程 可 能 是 为 了 确保 软件 
开发 过 程 能 严格 遵守 外 部 法 规 (例如 美国 的 萨 班 斯 一 奥克斯 利 会 计 准 则 )。 这 些 规程 可 能 
是 无 法 改变 的 ， 因 此 过 程 冲 突 是 不 可 避免 的 。 


http://software-engineering-book.com/web/incremental-development/ 


从 管理 的 角度 看 ， 增 量 式 开 发 方法 存在 两 个 问题 : 

1. 过 程 不 可 见 。 管 理 人 员 需 要 常规 的 交付 物 来 掌握 进度 。 如 果 系 统 是 快速 开发 的 ， 那 么 
要 产生 反映 系统 每 个 版 本 的 文档 就 很 不 合算 。 

2. 伴随 着 新 的 增 量 的 添加 ， 系 统 结构 会 逐渐 退化 。 不 断 的 修改 导致 凌乱 的 代码 ， 因 为 新 
需求 会 以 任何 可 能 的 方式 被 添加 进来 。 向 系统 中 添加 新 特性 将 变 得 越 来 越 困 难 ， 成 本 也 越 来 
越 高 。 为 了 缓解 结构 退化 和 一 般 的 代码 混乱 ， 敏 捷 方 法 建议 定期 对 软件 进行 重 构 (改进 和 结 
构 调 整 )。 

在 面 对 大 型 、 复 杂 以 及 长 生命 周期 的 系统 时 ， 增 量 式 开发 的 问题 变 得 更 加 突出 。 这 类 系 
统 的 不 同 部 分 由 不 同 的 团队 来 开发 ， 这 样 就 需要 一 个 稳定 的 框架 或 体系 结构 ， 负 责 系统 不 同 
部 分 的 各 个 团队 的 职责 需要 按照 体系 结构 来 明确 、 清 晰 地 定义 。 这 种 体系 结构 要 求 事先 进行 
计划 而 不 是 增 量 地 开发 。 

增 量 式 开发 不 意味 看 开发 者 必须 问 系统 客户 交付 每 一 个 增 量 。 开 发 者 可 以 增 量 地 开发 系 
统 并 向 客户 和 其 他 相关 利益 相关 者 进行 展示 以 获得 评论 和 反馈 ， 不 一 定 需要 将 其 交付 给 客户 
并 在 客户 环境 中 进行 部 署 。 增 量 的 交付 (在 2.3.2 节 中 介绍 ) 意味 着 软件 在 真实 的 运行 过 程 
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中 被 使 用 ， 因 此 用 户 反馈 可 能 会 更 真实 。 然 而 ， 提 供 这 种 反馈 并 不 总 是 可 行 的 ， 因 为 试验 新 
软件 可 能 会 干扰 常规 的 业务 过 程 。 


2.1.3 ”集成 与 配置 


大 多 数 软件 项 目 中 都 存在 一 定 程度 的 软件 复 用 。 复 用 经 常 在 参与 项 目 开 发 的 人 了 解 到 或 
查找 与 需要 开发 的 功能 相似 的 代码 时 以 一 种 非 正 式 的 方式 发 生 。 他 们 寻找 可 复 用 的 代码 ， 按 
照 需要 对 它们 进行 修改 ， 并 将 它们 与 已 开发 的 新 代码 相 集成 。 

这 种 非 正 式 复 用 的 发 生 与 所 使 用 的 开发 过 程 无 关 。 然 而 ， 目 2000 年 开始 ,关注 复 用 已 
有 软件 的 软件 开发 过 程 已 经 得 到 了 广泛 的 使 用 。 面 向 复 用 的 方法 依赖 于 一 个 可 复 用 的 软件 构 
件 库 以 及 一 个 用 于 构件 组 站 的 集成 框 染 。 

以 下 3 类 软件 构件 经 常 被 复 用 。 

1. 经 过 配置 后 可 以 在 特定 环境 中 使 用 的 独立 应 用 系统 。 这 些 系统 是 拥有 很 多 特性 的 通用 
系统 ， 但 它们 必须 在 特定 的 应 用 中 进行 调整 和 适 配 。 

2. 作为 一 个 构件 或 一 个 包 开 发 的 并 且 将 与 一 个 构件 框架 (例如 Java Spring 框架 (Wheeler 
and White 2013 ) ) 相 集成 的 一 组 对 象 。 

3. 按照 服务 标准 并 上 且 可 以 通过 互联 网 进行 远程 调用 的 Web 服务 。 
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图 2-3 面 回 复 用 的 软件 工程 


图 2-3 描述 了 一 个 通用 的 基于 复 用 以 及 集成 和 配置 的 开发 过 程 模 型 。 该 过 程 中 包括 以 下 
这 些 阶 段 。 

1. 需求 规格 说 明 。 系 统 的 初始 需求 被 提出 。 这 些 需求 不 需要 进行 细 化 ,但 是 应 当 包 含 对 
于 基本 的 需求 以 及 想 要 的 系统 特性 的 简要 描述 。 

2. 软件 发 现 和 评估 。 给 定 软件 需求 的 概要 后 ， 搜 索 提 供 所 需要 的 功能 的 构件 和 系统 。 然 
后 对 候选 的 构件 和 系统 进行 评估 ， 确 定 它们 是 否 满足 相应 的 基本 需求 以 及 是 否 适合 用 于 当前 
系统 。 

3. 需求 精 化 。 此 阶段 利用 所 发 现 的 可 复 用 构件 和 应 用 的 信息 对 需求 进行 精 化 。 对 需求 进 
行 修改 以 反映 可 用 的 构件 ， 而 系统 规格 说 明 会 被 重新 定义 。 如 果 无 法 进行 修改 ， 那 么 可 能 会 
重新 进入 构件 分 析 活 动 来 查找 替代 的 解决 方案 。 

4. 应 用 系统 配置 。 如 果 一 个 满足 需求 的 成 品 应 用 系统 是 可 用 的 ， 那么 可 以 对 该 系统 进行 
配置 后 使 用 以 创建 新 系统 。 

5. 构件 适 配 和 集成 。 如 果 没 有 成 品系 统 ， 那么 可 以 对 各 个 可 复 用 构件 进行 修改 并 开发 新 
构件 。 接 着， 这 些 构件 被 集成 到 一 起 来 创建 系统 。 
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基于 配置 和 集成 的 面向 复 用 的 软件 工程 在 降低 软件 开发 量 以 及 降低 成 本 和 风险 方面 有 着 
明显 的 优势 。 该 方法 通常 还 可 以 实现 更 快 的 软件 交付 。 然 而 ， 需 求 权 衡 是 不 可 避免 的 ， 这 可 
能 导致 系统 不 完全 满足 用 户 的 真实 需求 。 此 外 ， 采 用 面向 复 用 的 开发 方法 还 会 失去 一 些 对 系 
统 演化 的 控制 ， 因 为 可 复 用 构件 的 新 版 本 并 不 在 使 用 该 构件 的 组 织 的 控制 之 下 。 

软件 复 用 很 重要 ， 因 此 本 书 第 三 部 分 的 一 些 章节 还 会 对 这 一 话题 进行 介绍 。 其 中 ,第 
15 章 介 绍 了 一 些 关 于 软件 复 用 的 一 般 性 问题 ， 第 16 和 17 章 介 绍 了 基于 构件 的 软件 工程 ， 
第 18 曹 介 绍 面 癌 服务 的 系统 。 


2.2 过程 活 动 

真实 的 软件 过 程 中 技术 活动 、 协 作 活动 以 及 管理 活动 交织 在 一 起 ， 其 总 体 目标 是 完成 一 
个 软件 系统 的 规格 说 明 、 设 计 、 实 现 和 测试 。 一 般 而 言 ， 现 在 的 软件 过 程 都 是 工具 支持 的 。 
这 意味 着 软件 开发 者 可 以 使 用 很 多 软件 工具 来 帮助 自己 的 工作 ,例如 需求 管理 系统 、 设 计 建 
模 编辑 器 、 程 序 编辑 器 、 自 动 测试 工具 、 调 试 器 等 。 


软件 开发 工具 


软件 开发 工具 是 用 来 支持 软件 工程 过 程 活动 的 程序 。 这 些 工 具 包 括 需 求 管 理工 具 、 
设计 编辑 器 、 重 构 支持 工具 、 编 译 器 、 调 试 器 、 缺 陷 追 踪 工 具 、 系 统 构建 工具 等 ， 

软件 工具 通过 自动 化 某 些 过 程 活动 以 及 提供 所 开发 软件 的 信息 来 提供 软件 过 程 支持 。 
例如 : 

o 作为 需求 规格 说 明 或 软件 设计 中 的 一 部 分 的 图 形 化 系统 模型 的 开发 ; 

o 通过 这 些 图 形 化 模型 生成 代码 ; 

© 通过 用 户 利用 交互 式 的 方式 所 创建 的 图 形 化 界面 描述 来 生成 用 户 界 面 ; 

o 通过 提供 正在 执行 的 程序 的 信息 进行 程序 调试 ; 

o 将 使 用 一 种 编程 语言 的 某 个 旧版 本 所 编写 的 程序 翻译 为 一 个 较 新 的 语言 版 本 。 

多 种 工具 可 以 被 整合 在 一 个 被 称 为 交互 式 开 发 环境 (Interactive Development 
Environment, IDE) 的 框架 中 。 该 环境 提供 了 一 组 通用 的 基础 设施 ， 使 得 不 同 的 工具 可 以 
使 用 这 些 基 础 设施 更 容易 地 进行 通信 并 以 一 种 集成 的 方式 运行 - 


http://software-engineering-book.com/web/software-tools/ 




















4 个 基本 的 过 程 活动 一 一 规格 说 明 、 开 发 、 确 认 、 演 化 ,在 不 同 的 开发 过 程 中 的 组 织 方 
式 也 各 不 相同 。 在 瀑布 模型 中 ， 这 些 活动 被 组 织 为 一 个 序列 ; 而 在 增 量 式 开发 中 ， 这 些 活动 
交织 在 一 起 。 这 些 活动 如 何 开 展 取决 于 所 开发 的 软件 的 类 型 、 开 发 者 的 经 验 和 能 力 ， 以 及 开 
发 此 软件 的 组 织 的 类 型 。 


2.2.1 软件 规格 说 明 


软件 规格 说 明 或 需求 工程 过 程 的 目的 是 理解 和 定义 系统 需要 提供 哪些 服务 ， 以 及 识别 对 
于 系统 开发 和 运行 的 约束 。 需 求 工程 是 软件 过 程 中 一 个 特别 关键 的 阶段 ， 这 个 阶段 所 犯 的 销 
误 将 不 可 避免 地 在 后 续 的 系统 设计 和 实现 阶段 造成 问题 。 
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需求 工程 过 程 开始 之 前 ， 企 业 可 能 会 进行 一 个 可 行 性 或 市 场 研究 ， 以 评估 是 否 存在 与 该 
软件 相应 的 需要 或 者 市 场 ， 以 及 开发 所 要 求 的 软件 是 否 在 技术 上 和 财务 上 可 行 。 可 行 性 研究 
是 短期 的 、 相 对 低 成 本 的 研究 ， 为 是 否 进一步 进行 更 详细 的 分 析 决 策 提供 依据 。 

需求 工程 过 程 (图 2-4 ) 的 目的 是 产生 
一 个 得 到 共识 的 需求 文档 ， 其 中 刻画 了 一 
个 满足 利益 相关 者 需求 的 系统 。 需 求 通常 
在 两 个 细节 层面 上 进行 陈述 。 最 终 用 户 和 
客户 需要 一 个 需求 的 高 层 陈 述 ， 系统 开发 
者 需要 一 个 更 详细 的 系统 规格 说 明 。 

需求 工程 活动 中 有 以 下 3 个 主要 活动 。 

1 需求 抽取 与 分 析 。 该 过 程 通过 观察 
已 有 的 系统 、 与 潜在 的 用 户 和 采购 方 进 行 
讨论 、 任 务 分 析 等 手段 ， 得 出 系统 需求 。 
此 过 程 中 可 能 会 开发 一 个 或 多 个 系统 模型 和 
和 原型 。 这 些 都 会 有 助 于 理解 所 刻画 的 Bag TORTE 
系统 。 

2. 需求 规格 说 明 。 需 求 规格 说 明 活 动 将 需求 分 析 中 所 收集 的 信息 转化 为 定义 一 组 需求 的 
文档 。 该 文档 中 可 能 包含 两 种 类 型 的 需求 .用 户 需 求 ， 是 面向 系统 客户 和 最 终 用 户 的 系统 需 
求 的 抽象 陈述 ;系统 需求 ， 是 对 将 提供 的 功能 的 一 种 更 加 详细 的 描述 。 

3. 需求 确认 。 该 活动 检查 需求 的 现实 性 、 一 致 性 和 完整 性 。 在 此 过 程 中 会 不 可 避免 地 发 
现 一 些 需 求 文档 中 的 错误 。 必 须 对 需求 文档 进行 修改 以 纠正 这 些 问题 。 

需求 分 析 在 定义 和 规格 说 明 过 程 中 持续 进行 ， 并 且 在 整个 过 程 中 都 有 可 能 出 现 新 需求 。 
因此 ， 分 析 、 定 义 和 规 格 说 明 活 动 是 相互 交织 的 。 

在 敏捷 方法 中 ,需求 规格 说 明 不 是 一 个 独立 的 活动 ， 而 被 视 为 系统 开发 的 一 部 分 。 针 
对 每 个 系统 增 量 的 需求 ， 在 该 增 量 开 发 开始 之 前 才 会 进行 非 正 式 的 刻画 。 需 求 根据 用 户 的 优 
先 级 进行 刻画 。 需 求 的 抽取 来 自 于 用 户 ， 他 们 是 开发 团队 的 一 部 分 或 者 与 开发 团队 一 起 紧密 
工作 。 


2.2.2 软件 设计 和 实现 


软件 开发 的 实现 阶段 是 开发 一 个 可 执行 的 系统 以 交付 给 客户 的 过 程 。 有 时 候 软件 设计 和 
编码 活动 会 分 开 。 然 而 ， 如 果 使 用 敏捷 方法 ,那么 设计 和 实现 是 交织 在 一 起 的 ， 不 会 在 此 过 
程 中 产生 正式 的 设计 文档 。 当 然 ， 仍 然 需 要 对 软件 进行 设计 ， 但 是 设计 是 以 一 种 非 正 式 的 方 
式 记 录 在 白板 和 程序 员 的 笔记 本 上 的 。 

软件 设计 是 对 将 要 实现 的 软件 的 结构 、 系 统 所 使 用 的 数据 模型 和 结构 、 系 统 构件 间 
的 接口 的 描述 ， 有 时 候 还 会 包括 所 用 的 算法 。 设 计 者 不 是 立即 完成 全 部 设计 的 ， 而 是 分 阶 
段 完 成 设计 的 。 设 计 者 在 设计 过 程 中 要 不 断 添加 所 需 的 细节 ， 同 时 不 断 修改 先前 的 设计 
方案 。 

图 2-5 是 设计 过 程 的 抽象 模型 ， 显 示 了 设计 过 程 的 输入 、 过 程 活 动 以 及 过 程 的 输出 。 设 
计 过 程 活动 既 存 在 交织 又 相互 依赖 。 关 于 设计 的 新 信息 不 断 生 成 ， 这 会 影 啊 此 前 的 设计 决 
策 。 因 此 ， 设 计 的 修改 是 不 可 避免 的 。 
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图 2-5 设计 过 程 的 通用 模型 


大 多 数 软件 都 会 与 其 他 软件 系统 交互 。 这 些 其 他 系统 包括 操作 系统 、 数 据 库 、 中 间 件 和 
其 他 应 用 系统 。 这 些 构成 了 所 谓 的 “软件 平台 ”， 即 软件 将 会 在 其 中 运行 的 环境 。 关 于 该 平 
台 的 信息 对 于 设计 过 程 是 一 种 重要 的 输入 ， 因 为 设计 者 必须 决定 如 何以 最 好 的 方式 将 系统 与 
其 环境 集成 在 一 起 。 如 果 系 统 要 对 已 有 的 数据 进行 处 理 ， 那 么 对 于 这 些 数据 的 描述 可 以 包含 
在 平台 规格 说 明 中 。 和 否则 ， 数 据 描述 必须 作为 输入 提供 给 设计 过 程 ， 使 得 设计 者 可 以 定义 系 ， 
统 数据 的 组 织 。 

不 同 开发 项 目 中 的 设计 过 程 活动 有 所 相同 ， 取 决 于 所 开发 的 系统 类 型 。 例 如 ， 实 时 系 
统 要 求 一 个 额外 的 时 间 设 计 阶 段 ， 但 可 能 不 包含 数据 库 ， 因 此 可 以 没有 数据 库 设 计 阶 段 。 
图 2-5 中 显示 了 信息 系统 设计 过 程 中 可 能 包含 的 4 个 活动 。 

1. 体系 结构 设计 。 将 识别 系统 的 总 体 结构 、 基 本 的 构件 (有 时 候 也 称 为 子 系统 或 模块 )、 
它们 之 间 的 关系 以 及 它们 是 如 何 分 布 的 。 

2. 数据 库 设 计 。 将 设计 系统 的 数据 结构 以 及 数据 库 中 的 数据 表示 方式 。 同 样 ， 这 里 的 工 
作 取 决 于 是 否 要 复 用 一 个 已 经 存在 的 数据 库 或 者 创建 一 个 新 的 数据 库 。 

3. 接口 设计 。 将 定义 系统 构件 间 的 接口 。 接 口 规格 说 明 必须 是 无 歧义 的 。 有 了 精确 的 接 
口 定义 ， 一 个 构件 就 可 以 在 无 顷 了 解 另 一 个 构件 的 具体 实现 的 情况 下 使 用 该 构件 。 针 对 接口 
规格 说 明达 成 一 致 后 ， 各 个 构件 就 可 以 独立 进行 设计 和 开发 了 。 

4. 构件 选取 和 设计 。 将 搜索 可 复 用 的 构件 ， 如 果 没 找到 合适 的 构件 那么 就 设计 新 的 软 
件 构 件 。 此 阶段 的 设计 可 能 只 是 对 构件 进行 简单 的 描述 ， 而 把 实现 细节 留 给 程序 员 。 也 可 以 
是 确定 要 对 一 个 可 复 用 构件 进行 的 一 个 修改 列表 ,或 者 是 用 UML 表示 的 一 个 详细 的 设计 模 
型 。 接 下 来 ,设计 模型 可 以 被 用 于 自动 地 生成 实现 。 

这 些 活动 产生 设计 输出 ， 这 在 图 2-5 中 也 有 表示 。 对 于 关键 性 系统 ， 设 计 过 程 的 输出 是 
详细 设计 文档 ， 甚 中 设 定 了 精确 和 准确 的 系统 描述 。 如 果 使 用 模型 驱动 的 开发 方法 ( 见 第 5 
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章 ), 设计 输出 是 设计 图 。 如 果 使 用 敏捷 开发 方法 ， 设 计 过 程 的 输出 可 能 不 是 独立 的 规格 说 
明文 档 ， 而 是 在 程序 的 代码 中 进行 表示 。 

开发 一 个 程序 以 实现 一 个 系统 很 自然 地 会 遵循 系统 设计 。 虽 然 有 些 类 型 的 程序 (例如 安 
全 依 关 系统 ) 通常 在 实现 开始 前 会 进行 详细 的 设计 ， 更 常见 的 情况 是 设计 和 程序 开发 交织 在 
一 起 。 可 以 使 用 软件 开发 工具 来 从 一 个 设计 生成 一 个 骨架 程序 ， 其 中 包括 定义 和 实现 接口 的 
代码 ， 很 多 时 候 开 发 人 员 只 需要 添加 每 个 程序 构件 的 操作 的 实现 细节 。 

编程 是 一 个 个 人 化 的 活动 ， 没 有 可 以 广泛 遵循 的 一 般 性 的 过 程 。 有 些 程序 员 从 他 们 理 
解 得 比较 好 的 构件 开始 ， 开 发 完 这 些 再 转 而 对 理解 得 没 那么 好 的 构件 进行 开发 。 其 他 一 些 程 
序 员 则 相反 ， 将 熟悉 的 构件 留 到 最 后 ， 因 为 他 们 知道 如 何 开 发 这 些 构件 。 一 些 开 发 者 喜欢 在 
开发 中 早早 地 定义 数据 ， 然 后 使 用 数据 来 驱动 程序 开发 ; 其 他 开发 者 则 将 数据 定义 尽 可 能 
延 后 。 

通常 ， 程 序 员 会 对 已 经 开发 好 的 代码 进行 一 些 测试 。 这 经 常 可 以 发 现 一 些 必须 从 程序 中 
移 除 的 程序 缺陷 (或 bug)。 找 到 并 修复 程序 缺陷 被 称 为 调试 (debug)5 缺陷 测试 和 调试 是 不 
同 的 过 程 : 测试 确定 缺陷 的 存在 ; 调试 关注 定位 并 修正 这 些 缺 陷 。 

在 进行 调试 时 ， 你 必须 针对 可 观察 的 程序 行为 建立 一 些 假设 ， 然 后 测试 这 些 假设 以 找到 
导致 输出 异常 的 缺陷 根源 。 测 试 假设 可 能 要 手动 跟 踊 程序 代码 ， 还 可 能 会 需要 新 的 测试 用 例 
来 定位 问题 。 交 互 式 的 调试 工具 可 以 显示 程序 变量 的 中 间 值 以 及 所 执行 的 语句 轨迹 ， 通 常 可 
以 用 于 支持 调试 过 程 。 


2.2.3 软件 确认 


软件 确认 ， 或 更 一 般 性 地 ， 验 证 和 确认 ( Verification and Validation, V&V), H AYE Hh 
定 系 统 是 否 符合 它 的 规格 说 明 ， 同 时 是 否 符合 系统 客户 的 期 望 。 程 序 测试 ， 即 用 模拟 的 测试 
数据 运行 系统 ， 是 最 基本 的 确认 技术 。 确认 还 可 以 在 从 用 户 需 求 定 义 到 程序 开发 的 每 一 个 软 
件 过 程 阶段 中 包含 检查 性 的 过 程 (例如 审查 和 评审 )。 然 而 ， 大 部 分 验证 和 确认 的 时 间 和 工 
作 都 是 花 在 程序 测试 上 。 

除了 一 些小 程序 ， 系 统 不 应 当 作为 一 个 巨大 的 单元 整体 进行 测试 。 图 2-6 描述 了 一 个 三 
阶段 的 测试 过 程 ， 其 中 系统 构件 各 上 自 进行 测 
试 然后 对 集成 后 的 系统 进行 测试 。 对 于 定制 
化 软件 ， 客 户 测试 中 会 使 用 真实 客户 数据 对 


构件 测试 系统 测试 客户 测试 
客户 测试 有 时 被 称 为 B 测试 ， 即 经 过 挑选 的 


用 户 对 软件 进行 试用 和 评价 。 图 2-6 测试 阶段 

测试 过 程 包括 以 下 这 些 阶 段 。 

1. 构件 测试 。 由 系统 的 开发 人 员 对 组 成 系统 的 构件 进行 测试 。 每 个 构件 都 在 其 他 构件 不 
参与 的 情况 下 单独 进行 测试 。 构 件 可 能 是 简单 的 实体 ， 例 如 函数 或 对 象 类 ， 也 可 能 是 这 些 实 
体 构 成 的 内 聚 的 分 组 。 构 件 测试 通常 都 会 使 用 自动 化 测试 工具 (例如 面 同 Java 的 JUnit), ix 
些 工具 能 够 在 构件 的 新 版 本 被 创建 的 时 候 重新 运行 测试 (Koskela 2013 )。 

2. 系统 测试 。 系 统 构件 被 集成 到 一 起 创建 一 个 完整 的 系统 。 这 一 过 程 主要 关注 找到 由 于 
非 预 期 的 构件 间 交 互 和 构件 接口 问题 所 导致 的 错误 。 该 过 程 也 关注 系统 是 否 满 足 相 应 的 功能 
性 和 非 功能 性 的 需求 ， 并 测试 系统 的 涌现 特性 。 对 于 大 型 系统 而 言 ， 这 可 能 是 一 个 多 阶段 的 





30 BBD KHLEF HE 


过 程 ， 在 此 过 程 中 构件 首先 被 集成 以 形成 子 系统 并 分 别 进 行 测试 ， 然 后 这 些 子 系统 再 被 集成 
以 形成 最 终 的 系统 。 

3. 客户 测试 。 这 是 系统 被 接受 并 投入 运行 之 前 的 测试 过 程 中 的 最 后 阶段 。 系 统 由 系统 的 
客户 (或 潜在 的 客户 ) 而 不 是 模拟 的 测试 数据 来 进行 测试 。 对 于 定制 化 构造 的 软件 ， 客 户 测 
试 可 能 会 发 现 系统 需求 定义 中 的 错误 和 遗漏 ， 因 为 基于 真实 数据 的 系统 运行 与 基于 测试 数据 
的 系统 运行 方式 不 一 样 。 客 户 测试 还 可 以 发 现 其 他 一 些 需 求 问 题 ， 包 括 系 统 的 设施 无 法 真正 
满足 用 户 需 要 或 者 系统 的 性 能 不 可 接受 。 对 于 产品 ， 客 户 测试 可 以 显示 软件 产品 在 多 大 程度 
上 满足 客户 的 需要 。 

理想 情况 下 ， 构件 缺陷 可 以 在 测试 过 程 的 早期 被 发 现 ， 而 接口 问题 可 以 在 系统 集成 时 被 
发 现 。 然 而 ， 当 发 现 缺 陷 时 ， 必 须 对 程序 进行 调试 ， 测 试 过 程 中 的 其 他 一 些 阶段 可 能 需要 重 
复 进 行 。 程 序 构件 中 的 错误 可 能 会 在 系统 测试 过 程 中 暴露 出 来 。 因 此 ， 这 是 一 个 迭代 化 的 过 
程 ， 后 面 阶段 中 的 信息 会 反馈 给 该 过 程 早 期 的 一 些 阶段 。 

通常 ， 构 件 测试 是 常规 开发 过 程 的 一 部 分 。 程 序 员 构 造 自己 的 测试 数据 ， 并 在 代码 开发 
过 程 中 增 量 地 测试 代码 。 程 序 员 了 解 所 开发 的 构件 ， 因 此 是 生成 测试 用 例 的 最 佳人 选 。 

如 果 采 用 增 量 式 开 发 方法 ， 每 一 个 增 量 在 开发 的 时 候 都 要 基于 针对 该 增 量 的 需求 进行 测 
试 。 在 测试 驱动 的 开发 (敏捷 过 程 的 一 个 和 常规 部 分 ) 中 ,测试 在 开发 开始 前 与 需求 一 起 被 开 
发 出 来 。 这 可 以 帮助 测试 人 员 和 开发 人 员 理 解 需求 ， 并 确保 测试 用 例 的 创建 没有 延迟 。 

当 使 用 计划 驱动 的 软件 过 程 时 (例如 对 于 关键 性 系统 开发 )， 测 试 是 由 一 组 测试 计划 驱动 
的 。 一 个 独立 的 测试 团队 在 基于 系统 规格 说 明和 设计 开发 的 测试 计划 基础 上 开展 工作 。 图 2-7 
搞 述 了 测试 计划 如 何 将 测试 和 开发 活动 链接 到 一 起 。 这 个 有 时 被 称 为 开发 的 “V 模型 ”( 把 图 
转 一 下 就 可 以 看 到 V)。“YV 模型 ”显示 了 对 应 于 瀑布 过 程 模型 中 每 个 阶段 的 软件 确认 活动 。 


需求 规格 说 明 系统 规格 说 明 . 系统 设计 aan 


a 构件 代码 
测试 计划 测试 计划 测试 计划 和 测试 


客户 测试 系统 集成 测试 GF assent 成 测试 


图 2-7 计划 驱动 的 软件 过 程 中 的 测试 阶段 


当 一 个 系统 要 作为 一 个 软件 产品 在 市 场 上 销售 时 ， 被 称 为 B 测试 的 测试 过 程 经 常会 被 
用 到 。B 测试 向 一 些 同意 使 用 目标 系统 的 潜在 客户 交付 该 系统 。 他 们 向 系统 开发 者 报告 问 
题 。 这 一 过 程 将 产品 上 紧 露 在 真实 使 用 面前 ， 并 发 现 没 有 被 产品 开发 者 预见 到 的 错误 。 在 该 反 
馈 后 ， 软 件 产品 可 以 被 修改 并 发 布 以 进行 进一步 的 B 测试 或 一 般 性 的 销售 。 


2.2.4 软件 演化 


软件 的 灵活 性 是 大 型 复杂 系统 中 包含 越 来 越 多 的 软件 的 主要 原因 之 一 。 对 于 硬件 而 
， 一 且 做 出 了 一 个 关于 其 制造 的 决定 ， 再 对 硬件 设计 进行 变更 将 是 非常 昂贵 的 。 然 而 ， 软 
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件 则 可 以 在 系统 开发 之 中 或 之 后 的 任何 时 间 进 行 修改 。 即 使 非常 大 范围 的 修改 也 比 对 于 系统 
使 件 的 相应 变更 便宜 很 多 。 

从 历史 上 看 ， 软 件 开 发 过 程 和 软件 演化 (软件 维护 ) 过 程 之 间 总 是 分 离 的 。 人 们 认为 软 
件 开 发 是 一 个 创造 性 的 活动 ， 其 中 软件 系统 从 一 个 初始 的 概念 开始 进行 开发 直至 得 到 一 个 可 
以 工作 的 系统 。 然 而 ， 人 们 有 时 候 会 觉得 软件 维护 比较 平缓 而 且 没 有 那么 有 趣 。 他 们 认为 软 
件 维护 没有 原始 的 软件 开发 那么 有 趣 以 及 富 于 挑战 性 。 

这 种 开发 和 维护 之 间 的 区 分 越 来 越 不 合 时 宜 。 现 在 很 少 有 软件 系统 是 全 新 的 系统 ， 将 开 
发 和 维护 视 为 一 个 连续 的 过 程 无 疑 是 更 合理 的 。 与 将 开发 和 维护 视 为 两 个 分 离 的 过 程 的 认 知 
相 比 ， 一 种 更 加 现实 的 认 知 是 将 软件 工程 视 为 一 个 演化 式 的 过 程 (图 2-8 )， 其 中 软件 在 其 生 
命 周 期 中 随 着 不 断 变化 的 需求 和 客户 需要 而 持续 发 生变 化 。 


R p 评 佑 现 有 系统 PA 提出 系统 变化 和 人、 修改 系统 j 


已 有 系统 新 系统 | 





图 2-8 软件 系统 演化 


2.3 应 对 变化 


对 于 所 有 的 大 型 软件 项 目 而 言 变 化 都 是 无 法 避免 的 。 系 统 需求 随 着 业务 应 对 外 部 压力 、 
竞争 和 管理 优先 级 的 需要 等 变化 而 发 生变 化 。 当 可 用 的 新 技术 出 现时 ， 新 的 设计 和 实现 方法 
成 为 可 能 。 因 此 ,不管 使 用 什么 样 的 软件 过 程 模型 ， 文 持 对 所 开发 的 软件 进行 变更 都 是 基本 
要 求 。 

变化 增加 了 软件 开发 成 本 ， 因 为 变化 通常 意味 着 已 经 完成 的 工作 必须 重 做 。 这 被 称 为 

返工 (rework)。 例 如 ， 如 果 对 一 个 系统 的 需求 之 间 的 关系 进行 了 分 析 并 识别 出 了 新 的 需求 ， 
那么 需求 分 析 中 的 一 些 或 全 部 工作 必须 重复 执行 。 为 此 ， 可 能 有 必要 重新 设计 系统 以 文 持 新 
需求 、 修 改 已 经 开发 好 的 一 些 程序 ， 并 且 重 新 对 系统 进行 测试 。 

以 下 这 两 个 相关 的 方法 可 以 用 来 降低 返工 的 成 本 。 

1. 变化 预测 。 软 件 过 程 包 括 可 以 在 要 求 大 量 返 工 之 前 预见 或 预测 可 能 的 变化 的 活动 。 例 
如 ， 可 以 开发 一 个 原型 系统 来 向 客户 显示 系统 的 一 些 重要 特性 。 人 
和 

2. 变化 容忍 。 通 过 过 程 和 软件 设计 使 得 对 系统 的 修改 很 容易 进行 。 这 通常 包括 某 种 形式 
的 增 量 开发 。 所 提出 的 变更 可 能 是 在 还 没有 开发 的 增 量 上 实现 。 假 如 无 法 做 到 这 一 点 ， 和 那么 
只 需要 修改 一 个 增 量 (系统 的 一 小 部 分 ) 来 实现 变化 。 

这 一 节 将 介绍 如 下 两 种 应 对 变化 以 及 修改 系统 需求 的 方法 。 

1. 系统 原型 。 系 统 或 系统 的 一 部 分 的 一 个 版 本 被 快速 开发 以 检验 客户 需求 以 及 设计 决策 
的 可 行 性 。 这 是 一 种 变化 预测 方法 ， 因 为 它 允 许 用 户 在 交付 前 使 用 系统 进行 试验 并 据 此 精 化 
他 们 的 需求 。 因 此 ， 交 付 之 后 的 需求 变更 请 求 的 数量 很 有 可 能 会 减少 。 

2. 增 量 交 付 。 系 统 的 增 量 被 交付 给 客户 进行 评论 和 试验 。 这 种 方法 既 支持 变化 避免 又 可 
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以 支持 变化 容忍 。 避 免 了 交付 不 成 熟 的 需求 实现 ， 并 人 允许 在 之 后 的 增 量 中 进行 改变 上 且 将 成 本 
控制 在 较 低 水 平 。 它 避免 了 对 于 系统 整体 需求 的 不 成 熟 的 承诺 ， 并 且 人 允许 变化 能 够 以 较 低 的 
代价 加 入 到 后 续 的 增 量 中 。 

重 构 的 概念 ， 即 改进 程序 的 结构 和 组 织 ， 也 是 一 种 重要 的 支持 变化 容忍 的 机 制 。 本 书 将 
在 第 3 章 (敏捷 方法 ) 中 介绍 重 构 。 


2.3.1 原型 


原型 是 一 种 软件 系统 的 早期 版 本 ， 用 于 演示 概念 、 尝 试 候选 设计 方案 、 更 好 地 理解 问题 
以 及 可 能 的 解决 方案 。 快 速 、 迭 代 化 的 原型 开发 十 分 重要 ， 这 样 就 可 以 控制 成 本 ， 而 系统 的 
相关 利益 相关 者 也 可 以 在 软件 过 程 的 早期 试用 系统 原型 。 

软件 原型 可 以 用 于 软件 开发 过 程 以 帮助 对 可 能 需要 的 变化 进行 预测 

1. 在 需求 工程 过 程 中 ， 原 型 可 以 帮助 对 系统 需求 进行 抽取 和 确认 。 

2. 在 系统 设计 过 程 中 ， 原 型 可 以 用 于 探索 软件 解决 方案 ， 并 用 于 系统 用 户 界 面 的 开发 。 

系统 原型 使 得 潜在 用 户 可 以 看 到 系统 能 够 在 多 大 程度 上 支持 他 们 的 工作 。 他 们 可 以 从 
中 获得 对 于 需求 的 新 想法 ， 并 发 现 软件 的 长 处 和 短处 。 然 后 他 们 可 以 提出 新 的 系统 需求 。 此 
外 ， 随 着 原型 的 开发 ， 人 们 还 可 以 发 现 系统 需求 中 的 错误 和 遗漏 。 规 格 说 明 中 所 描述 的 某 个 
特征 可 能 看 上 去 是 清楚 和 有 用 的 。 然 而 ， 当 该 特征 与 其 他 功能 相 结合 之 后 ， 用 户 经 常会 发 现 
他 们 最 初 的 观点 是 不 正确 或 不 完整 的 。 这 样 就 可 以 对 系统 规格 说 明 进 行 修改 以 反映 对 需求 的 
新 的 理解 。 

可 以 利用 系统 原型 在 系统 设计 中 进行 设计 试验 ， 以 便 检 查 所 提出 的 设计 的 可 行 性 。 例 
如 ， 可 以 对 一 个 数据 库 设计 进行 原型 开发 和 测试 ， 以 检查 它 对 于 最 常见 的 用 户 查 询 是 否 支 持 
高 效 的 数据 访问 。 原 型 也 是 用 户 接口 设计 过 程 必 不 可 少 的 一 部 分 。 最 终 用 户 参 与 的 快速 原型 
对 于 用 户 界 面 开 发 是 唯一 合理 的 方法 。 由 于 用 户 界面 的 动态 特性 ， 文 本 式 的 描述 和 图 形 无 法 - 
充分 表达 用 户 界 面 需求 和 设计 。 

一 个 原型 开发 的 过 程 模型 如 图 2-9 所 示 。 原 型 开发 的 目的 在 开发 过 程 的 一 开始 就 应 当 明 
确 。 可 能 的 目的 包括 开发 用 户 界面 、 开 发 系统 以 确认 系统 功能 性 需求 ， 或 者 开发 一 个 系统 来 
向 管理 人 员 展 示 应 用 。 同 一 个 原型 无 法 满足 所 有 的 目的 。 如 果 不 明 确 原 型 开发 的 目的 ， 那 么 
管理 人 员 或 最 终 用 户 可 能 会 误解 原型 的 功能 。 其 结果 是 ， 他 们 可 能 无 法 获得 本 应 从 原型 开发 


中 得 到 的 益处 。 
图 2-9 原型 开发 


过 程 的 下 一 阶段 就 是 决定 哪些 要 放 入 原型 系统 中 ， 或 许 更 重要 的 是 ， 哪 些 不 放 入 原型 系 
统 中 。 为 了 减少 原型 开发 的 成 本 并 加 快 交 付 进 度 ， 你 可 能 要 在 原型 中 放弃 一 些 功 能 。 你 可 以 
决定 放宽 一 些 非 功 能 性 需求 ， 例 如 啊 应 时 间 、 存 储 利用 率 等 。 错 误 处 理 和 错误 管理 可 以 被 略 
去 ， 除 非 原 型 的 目标 是 构建 用 户 界 面 。 程 序 的 可 靠 性 和 质量 方面 的 标准 也 可 以 降低 。 
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该 过 程 的 最 后 一 个 阶段 是 原型 评估 。 这 个 阶段 必须 安排 用 户 培训 ， 而 且 应 该 根据 原型 
的 目标 制订 一 个 评估 计划 。 潜 在 的 用 户 需 要 一 段 时 间 来 适应 新 系统 并 进入 正常 使 用 模式 。 一 
且 他 们 正常 使 用 该 系统 ， 他 们 就 可 以 发 现 错误 的 以 及 被 遗漏 的 需求 了 。 原 型 一 般 和 都 存在 一 个 
问题 : 用 户 可 能 不 会 像 使 用 最 终 系统 那样 去 使 用 原型 。 原 型 的 测试 者 可 能 不 是 系统 的 典型 用 
户 。 在 原型 评估 过 程 中 可 能 没有 足够 的 时 间 。 如 果 原 型 很 慢 ， 那 么 评估 者 可 能 会 调整 目 己 的 
工作 方式 并 避免 使 用 那些 响应 时 间 比 较 慢 的 系统 特征 。 如 果 最 终 系统 的 响应 时 间 能 够 大 大 改 
善 ， 那 么 他 们 可 能 会 以 不 同 的 方式 使 用 系统 。 


2.3.2 增 量 式 交 付 


增 量 式 交付 (如 图 2-10 所 示 ) 是 软件 开发 的 一 种 方法 ， 其 中 一 部 分 被 开发 的 增 量 会 交付 
给 客户 并 在 他 们 的 工作 环境 中 进行 部 署 和 使 用 。 在 增 量 式 交 付 过 程 中 ， 客 户 定 义 哪些 服务 对 
他 们 最 重要 ， 哪 些 最 不 重要 。 在 此 基础 上 定义 一 系列 交付 增 量 ， 每 个 增 量 提供 系统 功能 的 一 
个 子 集 。 如 何 将 服务 分 配 到 各 个 增 量 中 取决 于 服务 的 优先 级 ， 其 中 优先 级 最 高 的 服务 首先 被 
实现 和 交付 。 


vm /将 需求 分 本 到 设计 系统 
TT a ii 


i AIAG 
确认 增 量 集成 增 量 确认 系统 部 署 增 量 | 


系统 是 完整 的 ? 
最 终 
系统 


图 2-10” 增 量 式 交付 


一 旦 确定 了 系统 增 量 ,将 要 在 第 一 个 增 量 中 交付 的 服务 的 需求 会 被 详细 定义 ， 并 对 第 一 
个 增 量 进行 开发 。 在 开发 过 程 中 ， 可 以 对 后 续 增 量 进行 进一步 的 需求 分 析 ， 但 是 不 接受 对 于 
当前 增 量 的 需求 变更 。 

一 旦 完成 并 交付 一 个 增 量 ， 就 可 以 将 其 部 署 在 客户 的 和 常规 工作 环境 中 。 客 户 可 以 对 系统 
进行 试验 ， 这 可 以 帮助 他 们 证 清 他 们 对 后 续 系 统 增 量 的 需求 。 当 新 的 增 量 完成 后 ， 再 将 它们 
与 已 有 的 增 量 相 集 成 ， 使 得 每 个 交付 的 增 量 者 能 改进 系统 的 功能 。 

增 量 式 交 付 有 下 面 这 些 优势 。 

1. 客户 可 以 将 早期 的 增 量 作为 原型 使 用 ， 从 中 获得 关于 后 续 系统 增 量 的 需求 的 经 验 。 与 
原型 不 同 的 是 ， 这 些 增 量 都 是 真实 系统 的 一 部 分 ， 因 此 当 系 统 全 部 完成 时 用 户 不 需要 重新 
学 习 。 

2. 客户 不 用 等 到 整个 系统 交付 就 能 从 系统 中 获得 价值 。 第 一 个 增 量 可 以 满足 他 们 最 关键 
的 需求 ， 因 此 他 们 可 以 马上 使 用 所 开发 的 软件 。 

3. 这 一 过 程 保持 了 增 量 式 开 发 的 优点 ， 那 就 是 变更 可 以 相对 容易 地 加 入 到 系统 中 。 

4. 由 于 优先 权 最 高 的 服务 最 先 交 付 ， 然 后 后 面 的 增 量 再 被 集成 进来 ， 这 就 使 得 最 重要 的 
系统 服务 的 测试 最 充分 。 这 意味 着 客户 不 太 可 能 在 系统 最 重要 的 部 分 上 碰 到 软件 失效 。 

然而 ， 增 量 式 交 付 也 存在 一 些 问题 。 在 实践 中 ， 只 有 在 引入 一 个 全 新 系统 并 且 系 统 的 评 
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估 者 有 足够 的 时 间 对 新 系统 进行 试验 的 情况 下 ， 这 种 方法 才能 较 好 地 发 挥 作 用 。 该 方法 的 关 
键 问 题 包括 以 下 这 些 。 

1. 当 新 系统 准备 替换 一 个 已 有 系统 时 ， 和 迭代 化 交付 会 有 问题 。 用 户 需要 旧 系 统 的 所 有 
功能 ， 通 常 不 愿意 用 一 个 不 完整 的 新 系统 进行 试验 。 同 时 使 用 旧 系 统 和 新 系统 经 常 是 不 现实 
的 ， 因 为 它们 很 有 可 能 会 使 用 不 同 的 数据 库 和 用 户 界面 。 

2. 大 多 数 系统 需要 一 组 由 系统 的 不 同 部 分 使 用 的 基础 设施 。 由 于 在 一 个 增 量 实现 之 前 ， 
相关 的 需求 并 没有 详细 定义 ， 确 定 所 有 的 增 量 都 需要 的 公共 基础 设施 可 能 很 难 。 

3. 迭代 化 过 程 的 本 质 是 规格 说 明 与 软件 一 起 开发 。 然 而 ， 这 与 许多 组 织 的 采购 方式 相 冲 
突 ， 这 些 采 购 方式 要 求 将 完整 的 系统 规格 说 明 作 为 系统 开发 合约 的 一 部 分 。 在 增 量 方法 中 ， 
直到 最 终 的 增 量 需 求 确定 之 前 ， 都 没有 完整 的 系统 规格 说 明 。 这 要 求 一 种 新 形式 的 合约 ， 而 
大 客户 (例如 政府 部 门 ) 可 能 会 难以 接受 。 

对 某 些 类 型 的 系统 而 言 ， 增 量 式 的 开发 和 交付 不 是 最 好 的 方法 。 例 如 ， 非 常 大 型 的 系统 
涉及 分 布 在 不 同 地 方 的 开发 团队 ， 一 些 嵌 入 式 系 统 的 软件 取决 于 硬件 开发 ， 而 一 些 关 键 性 系 
统 则 要 求 对 所 有 的 需求 进行 分 析 以 检查 可 能 影响 系统 安全 性 或 信息 安全 的 交互 。 

当然 ， 这 些 大 型 系统 也 会 遇 到 同样 的 不 确定 以 及 需求 变化 的 问题 。 因 此 ， 为 了 应 对 这 些 
问题 并 获得 增 量 式 开发 的 一 些 优势 ， 可 以 开发 一 个 系统 原型 ， 并 将 其 作为 一 个 系统 需求 和 设 
计 的 试验 平台 使 用 。 基 于 从 这 种 原型 中 获得 的 经 验 ， 针 对 最 终 的 需求 可 以 达成 共识 。 


2.4 过 程 改进 


如 今 的 工业 界 持续 面临 着 提供 更 便宜 、 更 好 的 软件 的 压力 ， 同 时 ， 交 付 时 间 压 力也 越 来 
越 大 。 其 结果 是 ， 许 多 软件 企业 都 寻求 通过 软件 过 程 改 进来 提升 软件 的 质量 、 降 低 成 本 、 加 
速 他 们 的 开发 过 程 。 过 程 改进 意味 着 理解 当前 的 过 程 ， 并 对 其 进行 改变 以 提高 产品 质量 ， 并 
且 /或 者 降低 成 本 和 开发 时 间 。Web 上 的 第 26 章 对 过 程度 量 和 过 程 改进 相关 的 一 些 通用 问 
题 进行 了 详细 介绍 。 

可 以 使 用 以 下 两 种 很 不 一 样 的 方法 来 实现 过 程 改进 和 变更 。 

1. 过 程 成 熟 度 方法 ， 关 注 改 进 过 程 和 项 目 管理 ， 并 将 好 的 软件 工程 实践 引入 到 组 织 中 。 
过 程 成 熟 度 等 级 反映 了 好 的 技术 和 管理 实践 在 多 大 程度 上 在 组 织 的 软件 开发 过 程 中 得 到 了 应 
用 。 这 种 方法 的 主要 目标 是 提高 产品 质量 和 过 程 的 可 预测 性 。 

2. 敏捷 方法 ， 关 注 和 迭代 化 的 开发 以 及 降低 软件 过 程 中 的 额外 开销 。 敏 捷 方法 的 主要 特点 
是 快速 交付 功能 以 及 对 客户 需求 变更 的 快速 响应 。 这 里 的 改进 哲学 认为 : 最 好 的 过 程 是 那些 
额外 开销 最 低 的 过 程 ， 而 敏捷 方法 可 以 做 到 这 一 点 。 
第 3 章 中 将 详细 介绍 敏捷 方法 。 

拥护 这 两 种 方法 其 中 之 一 的 人 们 一 般 都 会 怀疑 另 
一 种 方法 的 优势 。 过 程 成 熟 度 方法 来 源 于 计划 驱动 的 
开发 ， 因 为 会 引入 一 些 与 程序 开发 并 不 直接 相关 的 活 
动 ， 通 常会 增加 “额外 开销 ”。 敏 捷 方 法 关注 所 开发 的 
代码 ， 并 特别 将 形式 化 和 文档 化 进行 最 小 化 。 

过 程 成 熟 度 方法 所 基于 的 过 程 改 进 的 一 般 过 程 是 
一 个 循环 的 过 程 ， 如 图 2-11 所 示 。 该 过 程 中 的 阶段 
如 下 。 图 2-11 过 程 改 进 周 期 
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1. 过 程度 量 。 对 软件 过 程 或 产品 的 一 个 或 多 个 属性 进行 度量 。 这 些 度量 构成 了 一 个 基 
线 ， 可 以 帮助 你 确定 过 程 改进 是 否 有 效 。 当 引入 改进 后 ， 可 以 对 同样 的 属性 再 次 进行 度量 ， 
它们 很 有 可 能 已 经 有 所 改善 。 

2. 过 程 分 析 。 对 当前 的 过 程 进 行 评价 ， 识 别 过 程 中 的 弱点 和 瓶颈 。 描 述 当前 过 程 的 过 程 
模型 《有 时 称 为 过 程 地 图 ) 可 以 在 此 阶段 开发 出 来 。 分 析 可 以 关注 考虑 过 程 特性 ， 例 如 过 程 
的 啊 应 速度 和 和 鲁 棒 性 。 

3. 过 程 改变 。 提 出 对 当前 过 程 的 改变 方法 以 应 对 一 些 已 识别 出 的 过 程 弱点 。 引 入 变更 
后 ,改进 循 环 继续 收集 与 变化 有 效 性 相关 的 数据 。 

没有 关于 一 个 过 程 或 者 使 用 该 过 程 所 开发 的 软件 的 具体 数据 ， 就 无 法 对 过 程 改 进 的 价 
值 进 行 评价 。 然 而 ， 刚 开始 进行 过 程 改 进 的 企业 很 有 可 能 没有 过 程 数据 作为 改进 基线 。 因 
此 ， 作 为 第 一 个 改变 循环 的 一 部 分 ， 可 能 必须 收集 关于 软件 过 程 的 数据 ， 并 度量 软件 产品 的 
特性 。 

过 程 改进 是 一 个 长 期 活动 ， 因 此 改进 过 程 中 的 每 一 个 阶段 都 可 能 持续 几 个 月 。 同 时 ， 过 
程 改 进 也 是 一 个 持续 的 活动 ， 因 为 任何 新 过 程 被 引入 后 业务 环境 都 会 发 生变 化 ， 新 过 程 自 身 
也 必须 随 之 进行 演化 以 考虑 这 些 环境 变化 。 

过 程 成 熟 度 的 思想 是 在 20 世纪 80 年 代 后 期 被 提出 的 。 当 时 ， 软 件 工程 研究 所 (Software 
Engineering Institute, SEI) 提出 了 他 们 的 过 程 能 力 成 熟 度 模型 ( Humphrey 1988 ) 。 软 件 企 
业 的 过 程 成 熟 度 反 映 了 企业 中 的 过 程 管理 、 度 量 以 及 好 的 软件 工程 实践 的 使 用 。 这 一 思想 
被 引入 后 ， 美 国 国 防 部 就 可 以 对 国防 项 目 承 包 商 的 软件 工程 能 力 进 行 评估 ， REALIS 
件 开 发 合同 给 那些 达到 一 定 过 程 成 熟 度 的 承包 商 。 该 模型 中 包含 5 个 过 程 成 熟 度 等 级 ， 如 
图 2-12 所 示 。 这 些 内 容 在 过 去 25 年 中 一 直 在 演化 和 发 展 ( Chrissis, Konrad, and Shrum 
2011), 但 是 Humphrey 所 提出 的 模型 的 基本 思想 仍然 是 软件 过 程 成 熟 度 评价 的 基础 。 







第 4 级 : | 
定量 管理 级 | 


受 管理 级 | 


图 2-12 能力 成 熟 度 等 级 


过 程 成 熟 度 模型 包括 以 下 几 个 等 级 。 
1. 初始 级 。 与 过 程 域 相关 的 目标 令 人 满意 。 对 于 所 有 的 过 程 ， 将 要 进行 的 工作 范围 得 到 
了 明确 定义 并 与 团队 成 员 进 行 了 沟通 。 
2. 受 管理 级 。 在 这 个 等 级 上 ， 与 过 程 域 相关 的 目标 得 到 了 满足 ， 组 织 政 策 明确 定义 了 每 
个 过 程 应 当 在 什么 时 候 使 用 。 必 须 有 文档 化 的 项 目 计 划 来 定义 项 目 目标 。 资 源 管理 和 过 程 监 
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控 规 程 必须 在 整个 机 构 中 到 位 。 

3. 已 定义 级 。 这 个 等 级 关注 组 织 的 标准 化 以 及 过 程 的 部 署 。 每 个 项 目 都 有 一 个 受 管理 的 
过 程 ， 该 过 程 是 在 一 组 定义 好 的 组 织 过 程 基础 上 按照 项 目 需求 进行 适应 性 调整 得 到 的 。 必 须 
收集 过 程 资 产 和 过 程度 量 ， 并 用 于 未 来 的 过 程 改进 。 

4. 量化 管理 级 。 在 这 个 等 级 上 ， 存 在 相应 的 组 织 职 责 ， 使 用 统计 或 其 他 定量 方法 来 控制 
于 过 程 。 也 就 是 说 ， 所 收集 的 过 程 和 产品 度量 必须 用 于 过 程 管 理 。 

5. 优化 级 。 在 这 个 最 高 的 等 级 上 ， 组 织 必 须 使 用 过 程 和 产品 度量 来 驱动 过 程 改进 。 必 须 
对 趋势 进行 分 析 ， 并 根据 不 断 变化 的 业务 需要 对 过 程 进行 调整 。 

在 过 程 成 熟 度 等 级 上 的 工作 对 软件 产业 有 着 巨大 的 影响 。 这 些 工 作 关 注 于 已 应 用 的 并 使 
软件 工程 能 力 得 到 显著 改进 的 软件 工程 过 程 和 实践 。 然 而 ， 对 于 小 企业 而 言 ， 正 式 的 过 程 改 
进 中 的 额外 开销 过 高 ， 而 使 用 敏捷 过 程 的 成 熟 度 评估 也 比较 难 。 其 结果 是 ， 只 有 大 的 软件 企 
业 现 在 还 在 软件 过 程 改 进 中 使 用 这 一 关注 成 熟 度 的 方法 。 


要 点 


o 软件 过 程 是 生产 一 个 软件 系统 过 程 中 所 包含 的 一 系列 活动 。 软 件 过 程 模型 是 这 些 过 
程 的 抽象 表示 。 

e 通用 过 程 模型 描述 软件 过 程 的 组 织 。 这 些 通 用 过 程 模型 的 例子 包括 瀑布 模型 、 增 量 
式 开发 、 可 复 用 构件 配置 与 集成 等 。 

e 需求 工程 是 开发 软件 规格 说 明 的 过 程 。 规 格 说 明 的 目的 是 向 开发 者 传达 客户 方 对 于 
系统 的 需要 。 

o 设计 和 实现 过 程 是 将 需求 规格 说 明 转 换 为 一 个 可 运行 的 软件 系统 的 过 程 。 

© 软件 确认 是 检查 系统 是 否 符 合 它 的 规格 说 明 以 及 是 否 符 合 系统 用 户 的 真实 需要 的 过 
程 。 

e 软件 演化 发 生 在 修改 已 有 的 软件 系统 以 满足 新 的 需求 的 时 候 。 变 化 是 持续 的 ， 软 件 
必须 演化 以 保持 有 用 性 。 

e 过 程 应 该 包含 应 对 变化 的 活动 。 可 能 包含 一 个 原型 构造 阶段 ， 这 会 有 助 于 避免 在 需 
求 和 设计 上 的 错误 决策 。 过 程 可 以 按照 迭代 化 开发 和 交付 进行 组 织 ， 这 样 变更 可 以 
在 不 影响 系统 整体 的 情况 下 进行 。 

o 过 程 改进 是 改进 现 有 的 软件 过 程 以 提高 软件 质量 、 降 低 开 发 成 本 、 缩 短 开发 时 间 的 
过 程 。 过 程 改 进 是 一 个 循环 式 的 过 程 ， 包 括 过 程度 量 、 分 析 和 改变 。 


阅读 推荐 

《 Process Models in Software Engineering 》 是 一 本 全 面 介绍 各 种 软件 工程 过 程 模型 的 
很 棒 的 书 。CW. Scacchi, Encyclopaedia of Software Engineering, ed. J. J. Marciniak, John 
Wiley & Sons, 2001 ) http://www.ics.uci.edu/~wscacchi/Papers/SE-Encye/Process-Models-SE- 
Encyc.pdf 

« Software Process Improvement:Results and Experience from the Field 》 一 书 汇集 了 一 些 
关注 过 程 改 进 案例 研究 的 论文 ， 其 中 的 案例 来 自 于 挪威 的 一 些 中 小 企业 。 其 中 还 包括 对 于 过 
程 改进 的 一 些 通 用 问题 的 很 好 介绍 。(Conradi,R.,Dybai,T.,Sijgberg,D.,,and Ulsund,T. (eds. ), 
Springer, 2006 ) 


《 Software Development Life Cycle Models and Methodologies. 》 这 篇 博客 对 几 个 已 提 
出 并 使 用 的 软件 过 程 模型 进行 了 简要 总 结 。 其 中 讨论 了 每 个 模型 的 优点 和 缺点 。( M. Sami, 
2012 ) http://melsatar.wordpress. com/2012/03/15/software-development-life-cycle-models-and- 
methodologies/ 


网 站 
本 草 的 PPT; http://software-engineering-book.com/slides/chap2/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/software-engineering/ 


练习 


2.1 针对 以 下 每 个 系统 ， 请 推荐 最 合适 的 可 以 管理 其 开发 的 基础 的 通用 软件 过 程 模型 ， 按 
照 所 开发 系统 的 类 型 给 出 你 的 理由 。 
© 一 个 汽车 中 的 防 抱 死 刹车 控制 系统 ; 
o 一 个 支持 软件 维护 的 虚拟 现实 系统 ; 
© 一 个 准备 替换 现 有 系统 的 大 学 会 计 系统 ; 
e 一 个 交互 式 的 旅行 规划 系统 ， 可 以 帮助 用 户 以 最 小 的 环境 影响 规划 旅程 。 

2.2 ”为 什么 增 量 式 开发 是 开发 业务 软件 系统 的 最 有 效 的 方法 ? 为 什么 这 种 模型 不 那么 适用 
于 实时 系统 工程 ? 

23 考虑 图 2-3 中 所 示 的 集成 和 配置 过 程 模型 。 为 什么 在 这 个 过 程 中 要 重复 需求 工程 活 
动 ? 

2.4 ”为 什么 在 需求 工程 过 程 中 区 分 用 户 需求 开发 和 系统 需求 开发 是 重要 的 ? 

2.5 用 一 个 例子 解释 为 什么 体系 结构 设计 、 数 据 库 设计 、 接 口 设计 、 构 件 设计 这 些 设计 活 
动 是 相互 依赖 的 。 

2.6 为 什么 软件 测试 应 当 总 是 一 种 增 量 、 分 阶段 的 活动 ? 程序 员 是 测试 他 们 自己 所 开发 的 
程序 的 最 佳人 选 吗 ? 

2.7 为 什么 在 复杂 系统 中 变化 是 不 可 避免 的 ? 举 出 一 些 有 助 于 预测 可 能 的 变化 并 使 所 开发 
的 软件 更 适应 变化 的 软件 过 程 活动 的 例子 (除了 原型 和 增 量 交付 之 外 )。 

2.8 ”假设 你 已 经 开发 了 一 个 软件 系统 原型 ， 且 你 的 经 理 对 其 印象 深刻 。 她 提出 应 该 将 这 个 
原型 根据 需要 增加 一 些 新 特性 后 作为 一 个 生产 系统 投入 使 用 。 这 避免 了 系统 开发 的 一 
些 开 销 并 能 使 系统 可 理解 、 可 用 。 写 一 份 简单 的 报告 向 你 的 经 理解 释 为 什么 原型 系统 
通常 不 应 该 作为 生产 系统 使 用 。 

2.9 指出 SEI 的 能 力 成 熟 度 框架 中 所 包含 的 过 程 评估 和 改进 方法 的 两 个 优点 和 两 个 缺点 。 

2.10 从 历史 上 看 ， 新 技术 的 出 现 经 常 导 致 劳动 力 市 场 的 深远 变革 ， 并 使 得 人 们 的 工作 被 取 
代 (至 少 是 暂时 性 的 )。 讨 论 广泛 的 过 程 自动 化 的 引入 是 否 很 有 可 能 对 软件 工程 师 产生 
同样 的 后 果 。 如 果 你 不 认为 会 如 此 ， 解 释 为 什么 不 会 。 如 果 你 认为 这 样 会 减少 工作 机 
会 ,那么 受 影 响 的 工程 师 被 动 地 或 主动 地 抵制 该 技术 的 引入 是 否 道德 ? 
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敏捷 软件 开发 





目标 

本 章 的 目标 是 介绍 敏捷 软件 开发 方法 。 阅 读 完 本 章 后 ， 你 将 : 

e 理解 敏捷 软件 开发 方法 的 原理 、 敏 捷 宣 言 ， 以 及 敏捷 和 计划 驱动 的 开发 的 区 别 ; 

e。 了 解 重要 的 敏捷 开发 实践 ， 例 如 用 户 故 事 、 重 构 、 结 对 编程 、 测 试 先行 的 开发 ; 

o 理解 面向 敏捷 项 目 管理 的 Scrum 方法 ; 

o 理解 敏捷 开发 方法 的 伸缩 性 问题 ， IRER MAER REI E PRETT A RIR 

动 的 方 法 相 结 合 Flo 

许多 企业 现在 都 在 全 球 化 、 快速 变化 的 环境 中 运行 。 它 们 必须 啊 应 新 的 机 会 和 市 场 ， 响 
应 不 断 变化 的 经 济 环境 以 及 竞争 产品 和 服务 的 出 现 。 软 件 是 几乎 所 有 业务 运行 的 一 部 分 ， 因 
此 新 的 软件 必须 快速 开发 出 来 以 利用 新 的 机 会 以 及 响应 竞争 压力 。 因 此 ， 人 快速 的 软件 开发 和 
交付 对 于 大 多 数 业 务 系统 而 言 都 是 最 关键 的 要 求 。 事 实 上 ， 如 果 可 以 快速 部 署 一 些 重要 的 新 
软件 ， 有 时 企业 宁愿 在 软件 质量 和 需求 上 进行 权衡 和 妥协 。 

因为 这 些 企业 运行 在 一 个 不 断 变化 的 环境 中 ， 因 此 在 实践 中 不 可 能 定义 出 一 个 稳定 的 软 
件 需求 的 完整 集合 。 需 求 会 发 生变 化 ， 因 为 客户 发 现 无 法 预测 系统 将 会 如 何 影 响 他 们 的 工作 
实践 、 系 统 将 如 何 与 其 他 系统 交互 ， 以 及 哪些 用 户 操作 应 该 自动 化 。 只 有 当 一 个 系统 已 经 被 
交付 并 且 用 户 获得 相关 的 系统 经 验 之 后 ， 真 实 的 需求 才 会 变 得 清晰 。 即 使 到 了 这 个 时 候 ， 外 
部 因素 仍然 会 驱使 需求 变化 。 

计划 驱动 的 软件 开发 过 程 希望 完整 地 定义 需求 规格 说 明 ， 然 后 对 系统 进行 设计 、 构 建 和 
测试 ， 这 一 思想 并 不 适应 于 快速 的 软件 开发 。 如 果 发 现 需求 变化 或 者 需求 存在 问题 ， 那 么 系 
统 设计 和 实现 必须 进行 返工 和 重新 测试 。 其 结果 是 ,传统 的 瀑布 或 基于 规格 说 明 的 过 程 通常 
是 一 个 元 长 的 过 程 ， 最 终 的 软件 要 在 最 初 定义 规格 说 明 后 很 长 时 间 才 能 交付 给 客户 。 

对 于 某 些 类 型 的 软件 ， 例 如 安全 依 关 的 控制 系统 ， 其 中 完整 的 系统 分 析 必 不 可 少 ， 这 种 
计划 驱动 的 方法 是 正确 的 选择 。 然 而 ， 在 一 个 快速 变化 的 业务 环境 中 ， 这 一 过 程 可 能 会 导致 
真正 的 问题 。 当 软件 可 以 交付 使 用 时 ， 最初 采 购 该 系统 的 理由 可 能 已 经 很 快 发 生 了 变化 ， 以 
至 于 软件 实际 上 已 经 没什么 用 了 。 因 此 ,特别 是 对 于 业务 系统 ,关注 快速 软件 开发 和 交付 的 
开发 过 程 是 极其 重要 的 。 

对 于 快速 软件 开发 以 及 可 以 处 理 需求 变化 的 过 程 的 需要 多 年 前 就 已 经 被 接受 了 (Larman 
and Basili 2003 ) 。 然 而 ， 随 着 “敏捷 方法 ”的 思想 的 发 展 ， 例 如 极限 编程 (Beck 1999 )、 
Scrum 方法 (Schwaber and Beedle 2001 ) 和 DSDM 方法 (Stapleton 2003 )， 更 快 的 软件 开发 
实际 上 发 生 在 1990 年 年 底 。 

快速 软件 开发 逐渐 被 称 为 敏捷 开发 或 敏捷 方法 。 这 些 敏捷 方法 的 设计 目的 是 快速 产 出 有 
用 的 软件 。 所 有 已 经 提出 的 敏捷 方法 都 具有 如 下 这 些 共同 的 特性 。 

1. 规格 说 明 、 设 计 和 实现 过 程 交 织 在 一 起 。 没 有 详细 的 系统 规格 说 明 ， 设计 文档 化 被 最 小 
化 或 者 由 用 于 实现 系统 的 编程 环境 自动 生成 。 用 户 需求 文档 是 对 最 重要 的 系统 特性 的 概览 定义 。 
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2. 系统 按照 一 系列 增 量 进行 开发 。 最 终 用 户 和 其 他 系统 利益 相关 者 参与 每 个 增 量 的 规格 说 
明和 评估 。 他 们 可 能 会 提出 对 于 软件 的 变更 要 求 以 及 应 当 在 系统 的 后 续 版 本 中 实现 的 新 需求 。 

3. 使 用 广泛 的 工具 来 支持 开发 过 程 。 可 以 使 用 的 工具 包括 自动 化 测试 工具 、 文 持 配置 管 
理 和 系统 集成 的 工具 、 用 户 界 面 自动 化 构造 工具 。 

敏捷 方法 是 一 种 增 量 的 开发 方法 ， 其 中 的 增 量 都 很 小 ， 并 且 通 常 每 2 ~ 3 周 就 创建 新 的 
系统 发 布 版 本 并 交付 给 客户 。 这 些 方 法 使 客户 参与 开发 过 程 ， 以 便 获得 关于 需求 变化 的 快速 
反馈 。 他 们 通过 使 用 非 正式 的 交流 来 代替 使 用 书面 文档 的 正式 会 议 ， 从 而 尽量 减少 文档 化 。 

敏捷 软件 开发 方法 将 设计 和 实现 视 为 软件 过 程 的 中 心 活动 ， 将 其 他 开发 活动 (例如 需求 
抽取 和 测试 ) 融入 设计 和 实现 中 。 与 之 相对 的 是 计划 驱动 的 软件 工程 方法 ， 该 方法 明确 软件 
过 程 中 各 个 独立 的 阶段 ， 并 将 各 个 阶段 的 输出 连接 起 来 。 来 自 一 个 阶段 的 输出 被 用 于 规划 后 
续 过 程 活动 的 基础 。 

图 3-1 描述 了 计划 驱动 的 方法 以 ”基于 计划 的 开发 
及 敏捷 方法 在 系统 规格 说 明 方 面 的 本 
质 区 别 。 在 一 个 计划 驱动 的 软件 开发 
HEF, RAE, FER 
用 于 在 各 个 过 程 阶段 间 进 行 交 流 的 正 ， 
式 文 档 。 例 如 ， 需 求 会 发 生 演化 ， 最 
终 会 产生 一 个 需求 规格 说 明 。 接 着 这 
个 需求 规格 说 明 作 为 输入 提供 给 设计 
和 实现 过 程 。 在 一 个 敏捷 方法 中 ， 和 迭 
代 发 生 在 活动 之 间 。 因 此 ， 需 求 和 设 设计 和 实现 上 
计 会 被 一 起 开发 而 不 是 分 别 开 发 。 

在 实践 中 ， 如 3.4.1 节 所 述 ， 计 
划 驱 动 的 过 程 经 常 与 敏捷 编程 实践 一 图 3-1 计划 驱动 的 开发 和 敏捷 开发 
起 使 用 ， 敏 捷 方法 除了 编程 和 测试 之 
外 还 可 以 融入 一 些 事 先 计划 好 的 活动 。 在 一 个 计划 驱动 的 过 程 中 ， 按 照 一 系列 增 量 分 配 需求 
并 计划 设计 和 实现 阶段 也 是 完全 可 行 的 。 一 个 敏捷 过 程 不 一 定 只 关注 代码 ， 它 也 可 以 产生 一 
些 设计 文档 。 敏 捷 开 发 者 可 能 会 选择 在 某 个 迭代 中 不 产生 新 的 代码 而 是 产生 系统 模型 和 文档 。 


3.1 敏捷 方法 


在 20 世纪 80 年 代 以 及 20 世纪 90 年 代 早 期 ， 有 一 种 广泛 传播 的 观点 认为 ， 获 得 更 好 的 
软件 的 最 佳 方法 是 通过 仔细 的 项 目 规划 、 正 式 的 质量 保障 、 使 用 软件 工具 支持 的 分 析 和 设计 
方法 ， 以 及 受 控 和 严格 的 软件 开发 过 程 。 这 种 观点 来 自 于 负责 开发 大 型 、 长 期 存在 的 软件 系 
统 (例如 ， 航 空 航天 系统 以 及 政府 系统 ) 的 软件 工程 群体 。 

这 种 计划 驱动 的 方法 针对 的 是 由 分 属 不 同 公司 的 大 型 团队 开发 的 软件 。 这 种 团队 经 常 在 
地 理 位 置 上 很 分 散 ， 并且 长 期 在 某 个 软件 项 目 中 工作 。 这 类 软件 的 一 个 例子 是 现代 飞机 的 控 
制 系统 ， 该 系统 从 最 初 的 规格 说 明 到 部 署 可 能 要 花费 10 年 的 时 间 。 计 划 驱 动 的 方法 在 系统 
的 计划 、 设 计 和 文档 化 方面 有 着 巨大 的 额外 开销 。 这 些 额外 开销 在 有 些 情况 下 是 合理 的 ， 例 
如 ， 多 个 开发 团队 之 间 的 工作 需要 协调 ， 所 开发 的 系统 是 一 个 关键 性 系统 ， 许 多 不 同 的 人 会 
在 软件 整个 生命 期 中 参与 软件 的 维护 。 











需求 规格 说 明 


设计 和 实现 f 


需求 变更 请 求 
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然而 ， 当 这 种 重 载 的 计划 驱动 的 开发 方法 被 应 用 于 中 小 规模 的 业务 系统 时 ， 其 所 产生 的 
额外 开销 过 大 ， 以 至 于 占据 了 软件 开发 过 程 的 主要 部 分 一 一 更 多 的 时 间 花 在 了 考虑 系统 应 该 
如 何 开发 而 不 是 程序 开发 和 测试 本 身 。 随 着 系统 需求 的 变化 ， 返 工 是 必 不 可 少 的 ， 从 原则 上 
讲 至 少 规格 说 明和 设计 必须 和 程序 一 起 修改 。 

对 于 这 些 重 载 的 软件 工程 方法 的 不 满 导 致 了 敏捷 方法 在 20 世纪 90 年 代 后 期 发 展 起 来 。 
敏捷 方法 允许 开发 团队 关注 软件 本 身 而 不 是 它 的 设计 和 文档 化 。 它 们 最 适合 于 应 用 开发 ， 其 
中 系统 需求 通常 会 在 开发 过 程 中 快速 变化 。 这 些 方法 的 目的 是 快速 向 客户 交付 可 工作 的 软 
件 ， 这样 他 们 就 可 以 提出 系统 的 后 续 迭 代 中 所 要 包含 的 新 的 需求 以 及 需求 变更 。 这 些 方法 努 
力 通过 避免 进行 一 些 长 期 价值 可 疑 的 工作 以 及 去 除 很 有 可 能 再 也 不 会 被 使 用 的 文档 ， 以 便 减 
少 过 程 中 的 “官僚 主义 ”。 

敏捷 方法 背后 的 哲学 在 由 方法 主要 提出 者 所 发 表 的 敏捷 宣言 ( http://agilemanifesto.org) 
中 体现 出 来 。 这 个 宣言 声称 : 

我 们 通过 身体 力行 和 帮助 他 人 来 揭示 更 好 的 软件 开发 方式 。 通 过 这 些 工 作 ， 我 们 形成 了 
如 下 价值 观 : 

个 体 与 交互 胜 过 过 程 和 工具 ; 

可 工作 的 软件 胜 过 全 面 的 文档 ; 

客户 协作 胜 过 合同 谈判 ; 

响应 变化 胜 过 遵循 计划 。 

也 就 是 说 ， 虽 然 在 每 项 对 比 中 后 者 也 有 价值 ， 但 我 们 更 看 重 前 者 的 价值 。 


客户 应 当 在 整个 开发 过 程 中 紧密 参与 。 他 们 的 角色 是 提供 新 的 系统 需求 及 其 优 
先 级 ， 并 对 系统 的 迁 代 进行 评价 
期 待 系统 需求 变化 ， 对 系统 进行 设计 以 更 好 地 融 人 这 些 变化 


增 量 交付 软件 按照 增 量 进行 开发 ， 客 户 描述 每 个 增 量 中 要 包含 的 需求 


在 所 开发 的 软件 以 及 开发 过 程 中 都 关注 简洁 。 只 要 有 可 能 ， 都 要 积极 地 消除 系 
统 的 复杂 性 

开发 团队 的 技能 应 当 被 充分 认识 和 利用 。 应 当 让 团队 成 员 在 没有 规定 的 过 程 的 
限制 下 发 展 他 们 自己 的 工作 方式 


图 3-2 敏捷 方法 的 原则 


所 有 的 敏捷 方法 都 提倡 软件 应 当 以 增 量 的 方式 开发 和 交付 。 这 些 方 法 基于 不 同 的 敏捷 过 
程 ， 但 是 都 遵循 敏捷 宣言 中 的 那些 原则 (图 3-2 列 出 了 这 些 原则 )， 因 此 不 同 的 方法 之 间 有 很 
多 共性 。 

敏捷 方法 已 经 在 很 多 领域 取得 了 成 功 ， 特 别 是 在 以 下 两 类 系统 的 开发 中 。 

1. 软件 企业 所 开发 的 用 于 市 场 销售 的 中 小 规模 产品 。 事 实 上 几乎 所 有 软件 产品 和 应 用 程 
序 现在 者 在 使 用 敏捷 方法 开发 。 

2. 组 织 内 的 定制 化 系统 开发 ， 其 中 客户 承诺 可 以 参与 开发 过 程 ， 并 且 影 响 软件 开发 的 外 
部 利益 相关 者 和 法 规 不 多 。 

敏捷 方法 在 这 些 情况 下 效果 很 好 ， 这 是 因为 产品 经 理 或 系统 客户 与 开发 团队 之 间 可 以 进 
行 持续 的 交流 和 沟通 。 软 件 自身 是 一 个 独立 的 系统 而 不 是 与 其 他 同一 时 间 开 发 的 系统 紧密 集 
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保持 简洁 


人 而 不 是 过 程 
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成 。 因 此 ， 这 些 系 统 的 开发 不 需要 在 多 个 并 行 的 开发 流 之 间 进 行 协 调 。 中 小 规模 系统 的 开发 
团队 可 以 都 位 于 一 个 地 点 ， 因 此 团队 成 员 之 间 的 非 正式 交流 与 沟通 可 以 进行 得 很 好 。 


3.2 敏捷 开发 技术 


敏捷 方法 的 基本 思想 是 在 20 世纪 90 年 代 由 一 些 人 大 致 在 同一 时 间 发 展 起 来 的 。 然 而 ， 
其 中 最 重要 的 、 改 变 了 软件 开发 文化 的 方法 也 许 是 极限 编程 (Extreme Programming, XP) 
的 发 展 。 这 个 名 字 是 由 Kent Beck (Beck 1998 ) 发 明 的 ， 取 这 个 名 字 的 原因 是 该 方法 将 得 到 
认同 的 最 佳 实践 〈 例 如， 和 迭代 式 开 发 ) 推动 到 “极限 ”的 水 平 。 例 如 ,在 XP 方法 中 ,一 个 
系统 的 多 个 不 同 的 新 版 本 可 以 由 不 同 的 程序 员 在 一 天 之 中 开发 、 集 成 和 测试 。 图 3-3 描述 了 
XP 方法 产生 一 个 所 开发 系统 的 一 个 增 量 的 过 程 。 


的 用 户 故事 分 解 为 任务 













Anpi 开发 /集成 / 
图 3-3 XP 方法 的 发 布 周 期 


在 XP 方法 中 ， 需 求 被 表达 为 场景 ( 称 为 用 户 故事 )， 并 作为 一 系列 任务 来 直接 实现 。 程 
序 员 结对 工作 ， 在 编写 代码 前 为 每 个 任务 开发 测试 。 当 新 的 代码 集成 到 系统 中 时 ， 所 有 的 测 
试 都 必须 成 功 执行 。 系 统 的 发 布 之 间 时 间 间 隔 很 短 。 


原则 或 实践 





开发 者 成 对 完成 系统 各 个 部 分 的 工作 ， 从 而 不 会 产生 各 部 分 开发 知识 的 孤岛 
效应 ， 所 有 的 开发 者 对 所 有 的 代码 负责 。 任 何人 都 可 以 修改 任何 东西 

只 要 一 个 任务 的 工作 完成 ， 就 将 其 集成 到 整个 系统 中 。 任 何 一 次 集成 之 后 ， 
系统 的 所 有 单元 测试 都 必须 通过 

需求 被 记录 在 “故事 卡片 ”上 ， 一 个 发 布 中 将 要 包含 的 故事 取决 于 可 用 的 时 
间 以 及 它们 的 相对 优先 级 。 开 发 者 将 这 些 故事 分 解 为 开发 “任务 " 。 见 图 3-5 


系统 最 终 用 户 (客户 ) 的 一 个 代表 应 当 全 时 服务 于 XP 团队 。 在 极限 编程 过 
程 中 ， 该 客户 是 开发 团队 的 成 员 ， 负责 将 系统 需求 带 到 团队 中 进行 实现 


希望 所 有 的 开发 者 一 旦 发 现 潜在 的 代码 改进 机 会 都 能 持续 对 代码 进行 重 构 。 
这 样 可 以 使 代码 保持 简洁 并 具有 好 的 可 维护 性 





测试 先行 的 开发 在 一 个 新 功能 自身 实现 之 前 ， 使 用 自动 化 单元 测试 框架 来 为 该 功能 编写 测试 
图 3-4 极限 编程 实践 


极限 编程 存在 争议 ， 因 为 它 引 入 了 一 些 与 当时 的 开发 实践 很 不 一 样 的 敏捷 实践 。 图 3-4 
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中 对 这 些 实践 进行 了 总 结 ， 它 们 反映 了 以 下 这 些 敏捷 宣言 的 原则 。 

1. 通过 频繁 的 小 的 系统 发 布 支持 “ 增 量 交付 ”。 需 求 是 基于 简单 的 客户 故事 或 场景 ， 基 
于 这 些 信息 开发 者 决定 在 一 个 系统 增 量 中 包含 哪些 功能 。 

2. 通过 在 开发 团队 中 持续 地 约见 客户 实现 “客户 参与 ”"。 客 户 代表 参与 开发 并 负责 定义 
系统 的 验收 测试 。 - 

3. 通过 结对 编程 、 系 统 代码 的 共同 拥有 权 ， 以 及 不 包含 超 长 工作 时 间 的 可 持续 的 开发 过 
程 来 支持 “人 而 不 是 过 程 ”。 

4. 通过 定期 为 客户 提供 系统 发 布 、 测 试 先行 的 开发 、 避 免 代码 退化 的 重 构 、 新 功能 的 持 
续集 成 来 “拥抱 变化 ”。 

5. 通过 经 常 性 的 提高 代码 质量 的 重 构 、 使 用 不 包含 不 必要 的 系统 未 来 变化 预测 的 简单 设 
计 来 实现 “保持 简洁 ”。 

在 实践 中 ， 按 照 最 初 的 设想 应 用 极限 编程 已 经 被 证 明 比 所 预期 的 要 更 困难 。 极 限 编程 无 
法 与 大 多 数 企业 的 管理 实践 和 文化 顺利 地 集成 。 因 此 ， 采 用 敏捷 方法 的 企业 会 选取 一 些 最 适 
合 他 们 工作 方式 的 极限 编程 实践 。 有 时 候 这 些 实践 会 被 融 人 他 们 自己 的 开发 过 程 中 ， 但 更 常 
见 的 情况 是 ， 将 它们 与 关注 管理 的 敏捷 方法 (例如 Scrum 方法 ) 一 起 使 用 (Rubin 2013 )。 

我 个 人 觉得 对 于 大 多 数 企 业 而 言 ，XP 方 法 自身 难以 作为 一 种 实用 的 敏捷 方法 ， 但 是 它 
最 突出 的 贡献 可 能 是 它 所 引入 的 那 一 组 敏捷 开发 实践 。 本 节 将 介绍 这 些 实践 中 最 重要 的 部 分 。 


3.2.1 用 户 故 事 


软件 需求 总 会 发 生变 化 。 为 了 应 对 这 些 变化 ， 敏 捷 方 法 没有 一 个 独立 的 需求 工程 活动 ， 
而 是 将 需求 抽取 与 开发 集成 到 一 起 。 为 了 使 之 更 容易 ， 这 些 方 法 提出 了 “用 户 故事 ”的 思想 ， 
其 中 每 个 用 户 故 事 是 一 个 系统 用 户 可 能 经 历 的 使 用 场景 。 

系统 客户 应 当 尽 可 能 地 与 开发 团队 紧密 工作 ， 并 且 与 其 他 团队 成 员 一 起 讨论 这 些 场 景 。 
他 们 一 起 开发 一 种 “故事 卡片 "， 其 中 简要 描述 了 一 个 包含 客户 需要 的 故事 。 接 痢 开 发 团队 
计划 在 软件 的 后 面 某 个 发 布 中 实现 该 场景 。 作 为 例子 ， 图 3-5 描述 了 Mentcare 系统 的 一 个 
故事 卡片 。 这 是 一 个 给 病人 开 药 物 处 方 的 场景 的 价 短 摘 述 。 


凯特 是 一 个 想 给 来 诊所 看 病 的 病人 开 药 物 处 方 的 医生 。 病 人 记录 已 经 在 她 的 电脑 上 显示 着 ， 因 
此 她 可 以 点 击 其 中 的 药物 字段 ， 并 且 可 以 选择 “当前 药物 ”“ 新 的 药物 ”或 者 “处 方 集 ”。 
如 果 她 选择 “当前 药物 "， 那 么 系统 将 请 她 检查 剂量 ; 如 果 她 想 改变 剂量 ， 那 么 可 以 输入 新 的 剂 
量 然后 确认 处 方 。 

如 果 她 选择 “新 的 药物 ”， 那 么 系统 假设 她 知道 要 开 什 么 药 。 她 输入 药物 名 称 的 前 几 个 字母 。 系 
统 显示 由 这 几 个 字母 开头 的 可 能 的 药物 列表 。 她 选择 所 需要 的 药物 ， 系 统 进行 响应 并 请 她 检查 


所 选择 的 药物 是 否 正确 。 然 后 她 输入 剂量 并 确认 处 方 。 


如 果 她 选择 “处 方 集 "， 那 么 系统 显示 一 个 搜索 框 用 于 搜索 经 批准 的 处 方 集 。 接 着 她 可 以 搜索 所 
需要 的 药物 。 她 选择 一 个 药物 然后 系统 请 她 检查 药物 是 否 正确 。 接 着 她 输入 剂量 并 确认 处 方 。 
系统 总 是 检查 药物 剂量 是 否 在 所 批准 的 范围 内 。 如 果 超 出 范围 ,将 会 要 求 凯特 修改 剂量 。 

凯特 确认 处 方 后 ， 系 统 会 显示 处 方 从 而 让 她 进行 确认 。 她 可 以 点 击 “ 确 定 ” 或 “修改 ”按钮 。 
如 果 她 选择 “确定 ”"， 那么 该 处 方 将 会 被 记录 在 审计 数据 库 中 。 如 果 她 点 击 “ 修 改 "， 那 么 她 重 
新 进入 “ 开 药 物 处 方 ” 过 程 。 





图 3-5 一 个 “ 开 药 物 处 方 ” 的 用 户 故 事 
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， 用 户 故事 可 以 用 于 规划 系统 迭代 。 一 旦 故事 卡片 已 经 开发 好 了 ， 开 发 团队 将 其 分 解 为 任 
务 ( 见 图 3-6 ) 并 且 预 计 实现 每 个 任务 所 
需 的 工作 量 和 资源 。 这 通常 包括 与 客户 
讨论 以 精 化 需求 。 接 着 ， 客 户 确定 这 些 
故事 的 实现 优先 级 ， 选 取 那 些 可 以 立即 
使 用 以 提供 有 用 的 业务 支持 的 故事 。 其 


剂量 检查 是 一 个 安全 预防 机 制 ， 目 的 是 检查 医生 


目的 是 识别 可 以 在 大 约 两 周 之 内 实现 的 是 否 错误 地 开 出 了 一 个 剂量 太 小 或 太 大 的 有 人 危险 
有 用 的 功能 ， 到 时 候 条 统 的 下 一 个 发 布 的 药方。 
可 以 被 交付 给 客户 。 使 用 通用 药物 名 称 的 处 方 编号 ,查找 处 方 并 检索 
ii 所 推荐 的 最 大 和 最 小 剂量 . 
e RD RA et 如 果 超 出 范 
ie E SHE pa TER A 5 ity? 
FE BLES OT Ze EEC RIM. M 围 ， 那 么 提示 一 条 错误 消息 指明 剂量 太 大 或 太 小 





果 某 个 已 经 交付 的 系统 需要 变更 ， 那 么 如 果 在 范围 内 ， 那么 允许 点 击 “确认 ”按钮 。 
需要 开发 新 的 故事 卡片 ， 并 且 客 户 再 次 

决定 这 些 变化 是 否 应 当 比 新 功能 具有 更 

高 的 优先 级 。 

用 户 故 事 的 思想 很 强大 ， 人 们 发 现 与 传统 的 需求 文档 或 用 况 相 比 ， 使 用 这 些 故 事 要 容易 
得 多 。 用 户 故 事 在 让 用 户 参 与 初始 开发 之 前 的 需求 抽取 活动 并 提出 需求 等 方面 很 有 帮助 。 第 
4 草 将 详细 介绍 这 一 点 。 

用 户 故 事 的 主要 问题 是 完整 性 。 很 难 判 断 是 否 已 经 开发 了 足够 的 用 户 故 事 以 窗 盖 一 个 系 
统 所 有 的 重要 和 需求。 判断 单个 故事 是 否 正 确 描 述 了 一 个 活动 也 不 容易 。 有 经 验 的 用 户 经 党 很 
熟悉 目 己 的 工作 ， 以 至 于 会 在 描述 时 遗漏 一 些 东西 。 


3.2.2 Bry 


传统 软件 工程 的 一 个 基本 原则 是 开发 者 应 该 在 设计 中 考虑 未 来 的 变更 。 也 就 是 说 ， 应 该 
预测 未 来 针对 软件 的 变化 并 在 设计 中 加 以 考虑 ， 从 而 使 这 些 变 化 可 以 很 容易 实现 。 然 而 ， 极 
限 编程 据 奔 了 这 一 原则 ， 甚 依据 是 面 问 变化 的 设计 经 党 是 多 余 的 和 无 用 的 。 不 值得 花 时 间 往 
程序 中 增加 通用 性 以 应 对 变化 。 所 预计 的 变化 经 常 并 不 会 发 生 ， 或 者 实际 发 生 的 变更 请 求 与 
所 预计 的 变更 完全 不 同 。 

当然 ， 在 实践 中 ， 所 开发 的 代码 中 总 是 会 发 生变 化 。 为 了 使 这 些 变 化 更 容易 实现 ， 极 
限 编 程 方法 建议 开发 者 不 断 对 所 开发 的 代码 进行 重 构 。 重 构 ( Fowler et al. 1999 ) 的 意思 是 
编程 团队 寻找 对 软件 进行 改进 的 可 能 性 并 立即 实现 这 种 改进 。 当 团队 成 员 看 到 可 以 改进 的 代 
码 ， 他 们 马上 实施 改进 ， 即 使 这 一 改进 对 于 他 们 来 说 并 不 是 非常 紧迫 。 

增 量 开 发 的 一 个 基本 问题 是 局 部 的 修改 可 能 会 导致 软件 结构 的 退化 。 其 结果 是 ， 对 于 软 
件 的 进一步 修改 变 得 越 来 越 难以 实现 。 本 质 上 讲 ， 开 发 过 程 就 是 在 寻找 问题 的 奉 代 方案 的 过 
程 中 前 进 的 ， 其 结果 是 代码 经 常 发 生 重 复 、 软 件 的 某 些 部 分 以 不 恰当 的 方式 被 复 用 ， 以 及 整 
体 结 构 随 着 代码 不 断 被 加 入 系统 而 发 生 退 化 。 重 构 改 进 软件 的 结构 和 可 读 性 ， 因 此 可 以 避免 
当 软 件 被 修改 时 目 然 发 生 的 结构 退化 。 

重 构 的 例子 包括 对 一 个 类 的 继承 层次 进行 重新 组 织 ， 以 便 去 除 重复 的 代码 、 对 属性 和 方 
法 进行 整理 和 重 命 名 、 用 对 程序 库 中 定义 的 方法 的 调用 来 代替 相似 的 代码 段 。 程 序 开 发 环境 


图 3-6 “ 开 药 物 处方 ” 的 任务 卡片 例子 
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通常 包含 文 持 重 构 的 工具 。 这 些 工具 简化 了 寻找 代码 段 之 间 依 赖 关系 以 及 进行 全 局 的 代码 修 
改 的 过 程 。 

原则 上 讲 ， 当 重 构成 为 开发 过 程 的 一 部 分 ， 软 件 在 新 需求 被 提出 时 应 当 总 是 很 容易 理解 
和 修改 的 。 然 而 在 实践 中 并 不 总 是 如 此 。 有 时 候 开发 压力 意味 着 重 构 会 被 推迟 ， 因 为 时 间 都 
饺 用 于 实现 新 功能 。 一 些 新 的 特征 和 变更 无 法 通过 代码 级 的 重 构 顺利 地 融入 进来 ， 需 要 对 系 
统 的 体系 结构 进行 修改 。 


3.2.3 测试 先行 的 开发 


如 本 章 的 引言 部 分 所 述 ， 增 量 的 开发 和 计划 驱动 的 开发 的 一 个 重要 区 别 是 系统 测试 的 方 
式 。 使 用 增 量 开发 时 ， 没 有 供 外 部 的 测试 团队 使 用 的 用 于 开发 系统 测试 的 系统 规格 说 明 。 其 
结果 是 ， 与 计划 驱动 的 测试 相 比 ， 一 些 增 量 开 发 方法 所 采用 的 测试 过 程 很 不 正式 。 

极限 编程 开发 了 一 种 新 的 程序 测试 方法 以 应 对 在 没有 规格 说 明 的 情况 下 测试 所 面临 的 困 
难 。 测 试 被 自动 化 了 而 且 处 于 开发 过 程 的 核心 地 位 ， 只 有 在 所 有 测试 都 已 经 成 功 执行 之 后 开 
发 过 程 才 能 继续 进行 。 极 限 编程 方法 中 测试 的 关键 特性 如 下 。 

1. 测 试 先 行 的 开发 ; 

2. 基于 场景 的 增 量 测试 开发 ; 

3. 用 户 参 与 测试 开发 和 确认 ; 

4. 使 用 自动 化 测试 框架 。 

极限 编程 方法 的 测试 先行 哲学 现在 已 经 逐渐 演化 成 了 更 加 一 般 化 的 测试 驱动 的 开发 技术 
( Jeffries and Melnik 2007 )。 我 认为 测试 驱动 的 开发 是 软件 工程 中 最 重要 的 创新 之 一 。 与 传 
统 的 先 写 代码 然后 为 这 些 代码 编写 测试 的 方式 不 同 ， 开 发 人 员 在 写 代码 之 前 先 编写 测试 。 这 
意味 着 开发 人 员 可 以 在 代码 编写 过 程 中 运行 测试 ， 并 且 在 开发 中 发 现 问题 。 第 8 章 将 更 深入 
地 介绍 测试 驱动 的 开发 。 

编写 测试 隐 式 地 为 所 开发 的 功能 定义 了 接口 以 及 行为 规约 ， 这 使 得 需求 中 的 问题 以 及 接 
口误 解 的 问题 都 可 以 减少 。 测 试 优先 的 开发 要 求 系统 需求 与 实现 对 应 需求 的 代码 之 间 存 在 清 
晰 的 关系 。 在 极限 编程 中 ， 这 种 关系 很 清楚 ， 因 为 表示 需求 的 故事 卡片 被 分 解 为 任务 ， 而 任 
务 是 主要 的 实现 单元 。 

在 测试 先行 的 开发 中 ， 任 务 的 实现 者 必须 透彻 理解 规格 说 明 ， 从 而 能 够 为 系统 编写 测 
趟 。 这 意味 着 规格 说 明 中 的 需求 歧义 和 遗漏 在 实现 开始 之 前 必须 被 澄清 。 此 外 ,这 也 可 以 避 
和 免 “ 测 试 拖 后 腿 ” 的 问题 。 这 一 问题 会 在 系统 的 开发 人 员 比 测试 人 员 的 工作 进度 快 的 情况 下 
发 生 。 如 果实 现 进行 到 测试 之 前 很 远 很 远 的 地 方 了 ， 那 么 可 能 会 产生 跳 过 测试 的 倾向 ， 从 而 
使 开发 进度 得 以 保持 。 

极限 编程 的 测试 先行 的 方法 假设 用 户 故 事 已 经 开发 好 ， 并 已 经 被 分 解 为 一 组 任务 卡片 ， 
如 图 3-6 所 示 。 每 个 任务 产生 一 个 或 多 个 单元 测试 ， 以 便 检查 任务 中 所 描述 的 实现 。 图 3-7 
是 一 个 测试 用 例 的 部 分 描述 ， 开 发 这 个 测试 用 例 的 目的 是 检查 所 开 的 药品 剂量 没有 超出 已 知 
的 安全 范围 。 

客户 在 测试 过 程 中 的 角色 是 帮助 开发 将 在 系统 下 一 个 发 布 中 实现 的 用 户 故 事 的 验收 
测试 。 如 第 8 章 中 所 述 ， 验 收 测试 使 用 客户 数据 测试 系统 以 检查 系统 是 否 满足 客户 的 真实 


需要 ， 
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输入 : 
1. 一 个 表示 单 次 服药 剂量 的 数字 (单位 : EVE) 
2. 一 个 表示 每 天 服药 次 数 的 数字 


测试 : 

1. 针对 输入 进行 测试 ， 检 查 是 否 单 次 剂量 正确 但 频率 太 高 。 

2. 针对 输入 进行 测试 ， 检 查 是 否 单 次 剂量 太 大 或 太 小 。 

3. 针对 输入 进行 测试 ， 检 查 单 次 剂量 x 频率 是 否 太 大 或 太 小 。 

4. 针对 输入 进行 测试 ， 检 查 单 次 剂量 x 频率 是 否 在 所 允许 的 范围 内 。 


输出 : 
确认 无 误 或 者 提示 错误 信息 表明 剂量 超出 安全 范围 。 





3-7 剂量 检查 测试 用 例 描述 


测试 自动 化 对 于 测试 先行 的 开发 很 重要 。 测 试 在 任务 实现 之 前 被 编写 为 可 运行 的 构件 ，。 
这 些 测 试 构件 应 当 是 独立 的 ， 应 当 模 拟 向 被 测试 代码 提交 输入 ， 应 当 检 查 运 行 结果 是 否 满足 
输出 规约 。 目 动 化 测试 框架 是 一 种 使 人 们 很 容易 地 编写 可 运行 的 测试 以 及 提交 一 组 测试 进 
行 运行 的 系统 。 例 如 ，Junit ( Tahchiev et al. 2010) 是 一 种 广泛 使 用 的 Java 程序 自动 化 测试 
HER 

由 于 测试 被 自动 化 了 ， 因 此 总 是 有 一 组 可 以 很 快 并 且 很 容易 执行 的 测试 。 每 当 任何 一 个 
新 的 功能 被 加 入 系统 中 时 ， 测 试 可 以 运行 ， 而 新 代码 所 引入 的 问题 可 以 立即 被 捕捉 到 。 

测试 先行 的 开发 以 及 自动 化 测试 通常 导致 大 量 的 测试 被 编写 和 执行 。 然 而 ， 在 保证 测试 
覆盖 度 的 完备 性 方面 还 存在 以 下 这 些 问题 。 

1. 程序 员 更 喜欢 编程 而 不 是 测试 ， 有 时 候 他 们 会 在 编写 测试 时 走 捷 径 。 例 如 ， 他 们 可 能 
会 编写 无 法 检查 所 有 可 能 发 生 的 执行 异常 的 不 完整 测试 。 

2. 有 些 测 试 很 难 增 量 地 编写 。 例 如 ， 在 一 个 复杂 的 用 户 界 面 中 ， 为 实现 “显示 逻辑 ”以 
及 屏幕 之 间 的 工作 流 的 代码 编写 单元 测试 经 常会 很 困难 。 

判断 一 组 测试 的 完备 性 是 很 难 的 。 虽 然 可 以 有 很 多 系统 测试 ， 但 是 测试 集合 可 能 并 没有 
提供 完备 的 覆盖 度 。 系 统 的 二 些 关键 部 分 可 能 没有 执行 到 ， 因 而 没有 被 测试 到 。 因 此 ， 虽 然 

一 个 很 大 的 且 频 党 被 执行 的 测试 集合 可 能 会 给 人 一 种 系统 很 完备 、 很 正确 的 印象 ， 但 是 事实 

可 能 并 非 如 此 。 如 果 测 试 没有 经 过 评审 而 进一步 的 测试 是 在 开发 之 后 编写 的 ， 那 么 未 发 现 的 
缺陷 可 能 会 留 在 系统 发 布 中 被 交付 出 去 。 


3.2.4 结对 编程 


极限 编程 所 引入 的 另 一 个 创新 性 的 实践 是 程序 员 结对 一 起 工作 来 开发 软件 。 结 对 的 程序 
员 坐 在 一 起 用 同一 台电 脑 来 开发 软件 。 然 而 ， 同 一 对 程序 员 并 不 总 是 一 起 编程 。 结 对 的 程序 
员 是 动态 确定 的 ， 从 而 使 所 有 的 团队 成 员 都 能 在 开发 过 程 中 一 起 工作 。 

结对 编程 的 好 处 包括 以 下 这 些 方面 。 

1, 支持 对 于 系统 的 共同 所 有 权 和 共同 责任 的 思想 。 这 反映 了 Weinberg 的 “无 私 编程 ” 
的 思想 ( Weinberg 1971 )， 其 中 软件 由 团队 整体 所 有 ， 个 人 不 对 代码 中 的 问题 负责 。 团 队 对 
于 这 些 问题 的 解决 负 有 共同 责任 。 

2. 扮演 了 非 正式 的 评审 过 程 的 角色 ， 因 为 每 一 行 代 码 都 由 至 少 两 个 人 看 着 。 代 码 审查 和 
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评审 (第 24 章 ) 可 以 有 效 地 发 现 很 大 一 部 分 软件 错误 。 然 而 ， 代 码 审 查 和 评审 的 组 织 非常 
耗 时 ， 经 常 导致 开发 进度 延迟 。 结 对 编程 没有 那么 正式 ， 可 能 无 法 像 代 码 审查 那样 找到 很 多 
错误 。 但 是 ,与 正式 的 程序 审查 相 比 ， 组 织 结对 编程 的 成 本 更 低 也 更 容易 。 

3. 辟 励 通过 重 构 改进 软件 的 结构 。 让 程序 员 在 和 常规 的 开发 环境 中 进行 重 构 的 一 个 问题 
是 ， 所 花费 的 工作 量 是 为 了 获取 长 期 的 收益 。 有 些 人 认为 ， 相 比 那些 不 做 重 构 而 只 是 简单 地 
开发 代码 的 开发 者 ， 花 时 间 进 行 重 构 的 开发 者 的 开发 效率 可 能 要 低 一 些 。 当 使 用 结对 编程 和 
共同 的 所 有 权时 ， 其 他 人 可 以 立即 从 重 构 中 获 益 ， 因 此 他 们 会 更 加 支持 重 构 。 

你 可 能 会 认为 结对 编程 没有 各 目 独 立 编程 效率 那么 高 。 在 给 定 的 时 间 内 ， 一 对 开发 者 产 
出 的 代码 量 可 能 只 有 两 个 开发 者 各 自 独 立 开发 的 一 半 那 么 多 。 许 多 已 经 采取 敏捷 方法 的 企业 
怀疑 结对 编程 并 且 没 有 使 用 。 其 他 一 些 企 业 则 将 结对 编程 与 各 人 独立 编程 混合 在 一 起 ， 在 发 
生 问 题 时 让 一 名 经 验 丰 富 的 程序 员 与 一 名 经 验 没 那么 丰富 的 同事 一 起 工作 。 

对 于 结对 编程 的 价值 的 正式 研究 产生 了 多 种 不 同 的 结果 。Williams 和 她 的 合作 者 
( Williams et al. 2000 ) HHZ E BERA HITR, 发 现 结对 编程 的 生产 率 与 两 个 人 各 自 独 立 
工作 差不多 。 其 原因 被 认为 是 一 对 开发 者 可 以 在 开发 之 前 对 软件 进行 讨论 ， 因 此 很 有 可 能 在 
开始 时 的 误解 会 更 少 而 返工 也 更 少 。 而 且 ， 有 很 多 错误 都 可 以 通过 非 正 式 的 审查 来 避免 ， 从 
而 使 花费 在 修复 测试 过 程 中 发 现 的 缺陷 上 的 时 间 大 大 减少 ， 

然而 ， 针 对 更 有 经 验 的 程序 员 的 研究 没有 重复 这 些 结果 (Arisholm et al. 2007 )。 他 们 发 
现 与 两 个 程序 员 各 目 独 立 工作 相 比 ， 结 对 编程 在 生产 率 上 的 损失 很 显著 。 在 代码 质量 上 会 有 
一 些 好 处 ,但 是 这 并 不 能 完全 补偿 结对 编程 所 带 来 的 额外 开销 。 然 而， 在 结对 编程 过 程 中 所 
发 生 的 知识 的 共享 很 重要 ， 因 为 这 样 可 以 降低 由 于 团队 成 员 离 开 而 带 来 的 项 目 风 险 。 这 一 点 
可 能 使 结对 编程 值得 采用 。 


3.3 ”敏捷 项 目 管理 


在 任何 软件 企业 中 ， 管 理 人 员 都 需要 了 解 项 目 进展 情况 如 何 ， 以 及 项 目 是 否 能 满足 其 
目标 并 在 预算 范围 内 按时 交付 软件 。 计 划 了 驱动 的 软件 开发 方法 不 断 发 展 以 满足 这 一 要 求 。 如 
第 23 章 中 所 述 ， 管 理 人 员 制 订 一 个 项 目 计 划 ， 其 中 显示 要 交付 什么 东西 、 什 么 时 候 要 交付 、 
谁 应 该 负责 项 目 交 付 物 的 开发 。 计 划 驱 动 的 方法 要 求 一 个 管理 者 对 于 要 开发 的 一 切 以 及 开发 
过 程 都 有 一 个 稳定 的 视图 。 

敏捷 方法 的 早期 追随 者 所 提出 的 非 正 式 的 计划 和 项 目 控制 与 这 一 针对 可 见 性 的 业务 需求 
相 冲 突 。 团 队 是 自 组 织 的 ， 不 会 产生 文档 ， 所 计划 的 开发 都 是 很 短 的 周期 。 虽 然 这 些 对 于 开 
发 软件 产品 的 小 公司 而 言 能 够 并 且 也 的 确 可 行 ， 但 是 对 于 需要 知道 组 织 中 所 发 生 的 事情 的 大 
公司 而 言 就 不 适合 了 。 

与其 他 任何 一 个 专业 化 的 软件 开发 过 程 一 样 ， 敏 捷 开 发 必须 处 于 有 效 的 管理 之 中 ， 
以 使 团队 所 获得 的 时 间 和 资源 能 够 得 到 充分 利用 。 为 了 应 对 这 一 问题 ，Scrum 敏捷 方法 
( Schwaber and Beedle 2001; Rubin 2013 ) 被 提出 以 提供 一 个 组 织 敏捷 项 目的 框架 ， 从 而 至 少 
在 一 定 程 度 上 提供 项 目 进 展 状 况 的 外 部 可 见 性 。Scrum 的 提出 者 希望 明确 的 一 点 是 ，Scrum 
不 是 一 种 通常 意义 上 的 项 目 管理 方法 ， 因 此 他 们 革命 性 地 发 明了 一 些 新 的 术语 ， 例 如 ， 
Scrum 主管 (ScrumMaster) 取代 了 项 目 经 理 等 原 有 的 名 称 。 图 3-8 总 结 了 Scrum 中 的 一 些 术 
HRA Mo 
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开发 团队 一 个 自 组 织 的 软件 开发 者 小 组 ， 不 超过 7 人 。 他 们 负责 开发 软件 以 及 其 他 重要 
的 项 目 文档 


ve te ay uae at | 通过 一 个 冲刺 (sprint 交付 的 软件 增 量 。 其 思想 是 该 增 量 应 该 是 “潜在 可 交付 
的 产品 增 量 的 "， 这 意味 着 该 增 量 处 于 已 完成 状态 ,并 且 不 需要 进一步 的 工作 (例如 测试 ) 来 
HH 


将 其 集成 到 最 终 产品 中 。 在 实践 中 ， 这 一 点 并 不 总 是 可 以 实现 的 


这 是 一 个 Scrum 团队 必须 处 理 的 待 办 事项 的 列表 。 它 们 可 以 是 软件 的 特征 定 
产品 代办 事项 | 义 、 软 件 需 求 、 用 户 故 事 ， 或 者 所 需 的 补充 任务 (例如 体系 结构 定义 或 者 用 户 文 


档 ) 的 描述 


一 个 人 (或 一 个 小 组 )， 其 任务 是 识别 产品 特征 或 需求 ， 确 定 它们 的 开发 优先 级 ， 
产品 负责 人 并 持续 地 评审 产品 待 办 事项 以 确保 项 目 持续 满足 关键 的 业务 要 求 。 产 品 负 责 人 可 


以 是 一 个 客户 ,但 也 可 能 是 一 个 软件 公司 的 产品 经 理 或 者 其 他 利益 相关 者 的 代表 


Scrum 团队 每 天 的 例 行 会 议 ， 用 于 对 进度 进行 评审 ， 并 且 对 当天 要 进行 的 工作 
每 日 站 立会 议 | 进行 优先 级 排序 。 理 想 情 况 下 ， 该 会 议 应 该 是 一 个 整个 团队 都 参加 的 简短 的 面 对 


会 议 

Scrum 主管 负责 确保 Scrum 过 程 得 到 遵循 ,并且 指导 团队 有 效 地 使 用 Serum, 
他 负责 与 公司 其 他 部 分 的 接口 ， 并 确保 Scrum 团队 不 会 受到 外 部 的 干扰 。Scrum 
开发 者 可 以 坚持 已 见 ，Scrum 主管 不 应 该 被 认为 是 项 目 经 理 。 然 而 其 他 人 并 不 总 
能 轻易 地 看 到 其 中 的 区 别 

冲刺 | 一 种 开发 闪 代 。 冲 刺 通常 长 达 2 一周 

对 一 个 团队 在 单个 冲刺 中 可 以 完成 多 少 产 品 待 办 事项 工作 量 的 预测 。 理 解 一 个 
团队 的 速度 可 以 帮助 他 们 预测 一 次 冲刺 中 可 以 完成 多 少 事情 ， 并 为 衡量 团队 开发 
表现 的 改进 提供 了 依据 


图 3-8 Scrum 术语 表 





Scrum 是 一 种 敏捷 方法 ， 因 为 它 遵循 了 敏捷 宣言 中 的 那些 原则 ( 见 图 3-2 )。 然 而 ， 该 方 
法 关注 为 敏捷 项 目 组 织 提供 一 个 框架 ， 并 没有 指定 使 用 一 些 特定 的 开发 实践 ， 例 如 ， 结 对 编 
程 、 测 试 先行 的 开发 等 。 这 意味 着 在 一 个 企业 中 Scrum 可 以 更 容易 地 与 已 有 的 实践 相 集成 。 
因此 ， 由 于 敏捷 方法 已 经 成 为 软件 开发 的 主流 方法 ，Scrum 也 成 为 最 广泛 使 用 的 方法 。 

Scrum 过 程 ， 或 称 为 冲刺 周期 ， 如 图 3-9 所 示 。 过 程 的 输入 是 产品 待 办 事项 。 每 次 过 程 
夫 代 都 会 产生 一 个 可 以 交付 给 客户 的 产品 增 量 。 


评审 要 完成 
的 工作 






图 3-9 Scrum 冲刺 周期 


Scrum 冲刺 周期 的 起 点 是 产品 待 办 事项 一 一 Scrum 团队 必须 完成 的 产品 特征 、 需 求 和 工 
程 改 进 等 事项 的 列表 。 产 品 待 办 事项 的 初始 版 本 可 以 从 需求 文档 、 一 个 用 户 故 事 列表 或 者 其 
他 待 开 发 软件 的 描述 中 派生 出 来 。 
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虽然 产品 竺 办 事项 中 大 部 分 条 目 都 关注 系统 特征 的 实现 ， 但 是 也 有 可 能 包含 其 他 活动 。 
有 时 候 ， 当 计划 一 次 迭代 时 可 能 会 发 现 一 些 很 难 回 答 的 问题 ， 因 此 需要 进行 一 些 额 外 的 工作 
来 探索 可 能 的 解决 方案 。 团 队 可 以 进行 一 些 原型 或 试验 性 的 开发 活动 以 更 好 地 理解 问题 和 解 
决 方案 。 还 可 能 存在 设计 系统 体系 结构 或 开发 系统 文档 的 待 办 事项 。 

产品 竺 办 事项 的 详细 程度 可 以 各 不 相同 ， 产 品 负 责 人 负责 确保 其 中 的 详细 程度 与 要 完成 
的 工作 相 适 应 。 例 如 , 一 个 待 办 事项 可 以 是 一 个 完整 的 用 户 故事 (如 图 3-5 所 示 )， 或 者 只 是 
一 个 简单 的 指令 ， 例如， 只 是 说 明 “ 重 构 用 户 界面 代码 ”而 让 开发 团队 决定 要 进行 哪些 重 构 。 

每 个 冲刺 周期 持续 一 个 固定 的 时 长 ， 通常 是 2 ~ 4 周 。 在 每 个 周期 开始 时 ， 产 品 负 责 
人 对 产品 竺 办 事项 上 的 各 项 内 容 进行 优先 级 排序 ， 以 定义 该 周期 中 要 开发 的 最 重要 的 项 是 哪 
些 。 冲刺 从 来 不 会 为 了 考虑 未 完成 的 王 作 而 进行 扩展 。 在 当前 冲刺 周期 的 时 间 内 无 法 完成 的 
项 会 被 返回 给 产品 竺 办 事项 。 

接 下 来 ， 整 个 团队 参加 选取 他 们 认为 可 以 完成 的 最 高 优先 级 的 事项 。 他 们 接着 预测 完成 
这 些 事项 所 需 的 时 间 。 为 了 进行 预测 ， 他 们 使 用 从 此 前 的 冲刺 中 所 获得 的 速度 ， 即 单个 冲刺 
中 可 以 完成 多 少 竺 办 事项 。 这 导致 了 冲刺 竺 办 事项 的 创建 ， 即 当前 冲刺 期 间 要 完成 的 工作 。 
团队 通过 上 自 组 织 的 方式 确定 各 部 分 工作 任务 的 分 配 ， 接 着 冲刺 开始 。 

在 冲刺 过 程 中 ， 团 队 每 天 进行 简短 的 会 议 (每 日 站 立会 议 ) 来 对 进度 进行 评审 ， 并 在 必 
要 时 重新 对 工作 进行 优先 级 排序 。 在 每 日 站 立会 议 中 ， 所 有 的 团队 成 员 共 享 信息 ， 描 述 他 们 
目 上 一 次 会 议 之 后 的 进度 ， 汇 总 所 发 现 的 问题 ， 并 陈述 当天 计划 完成 的 事情 。 这 样 ， 团 队 中 
的 每 一 个 成 员 都 知道 进展 情况 ， 并 且 在 发 生 问 题 时 重新 计划 短期 工作 以 应 对 问题 。 每 个 人 都 
参与 这 一 短期 计划 过 程 ; 没有 目 顶 癌 下 来 目 Scrum 主管 的 指示 。 

Scrum 团队 成 员 之 间 每 天 的 交互 可 以 使 用 一 个 Scrum 板 进 行 协调 。 这 是 一 个 办 公 室 里 
的 白板 ， 其 中 包括 关于 冲刺 符 办 事项 、 已 完成 的 工作 、 缺 席 人 员 等 的 信息 和 便利 贴 。 这 是 整 
个 团队 的 共享 资源 ， 每 个 人 都 可 以 改变 或 移动 板 上 的 东西 。 这 意味 着 任何 团队 成 员 都 可 以 一 
下 子 看 到 其 他 人 正在 做 什么 以 及 还 有 哪些 工作 竺 完成。 

在 每 个 冲刺 结束 的 时 候 ， 有 一 个 整个 团队 参加 的 评审 会 议 。 这 个 会 议 有 两 个 目的 : 第 
一 ， 这 是 一 种 过 程 改进 的 手段 。 团 队 成 员 对 他 们 此 前 的 工作 方式 进行 评审 ， 并 反思 事情 是 和 否 
可 以 做 得 更 好 。 第 二 ， 为 下 一 个 冲刺 之 前 的 产品 待 办 事项 评审 提供 了 关于 产品 和 产品 状态 的 
输入 。 

虽然 Scrum 主管 并 不 是 正式 的 项 目 经 理 ， 但 是 在 实践 中 许多 采用 传统 管理 结构 的 组 织 
的 Scrum 主管 扮演 着 项 目 经 理 的 角色 。 他 们 向 高 层 管理 报告 进度 ， 并 参与 长 期 的 计划 和 项 
目 预算 。 他 们 可 以 参与 项 目 行政 管理 (例如 ， 同 意 员工 休假 、 联 系 人 事 部 门 等 ) 以 及 硬件 和 
软件 采购 。 

在 各 种 各 样 的 Scrum 成 功 故 事 中 (Schatz and Abdelshafi 2005; Mulder and van Vliet 
2008; Bellouiti 2009 )， 用 户 喜 欢 Scrum 方法 中 以 下 几 个 方面 。 

1, 产品 被 分 解 为 一 组 可 管理 、 可 理解 、 利 益 相 关 者 可 以 对 应 上 的 条 块 。 

2. 不 稳定 的 需求 不 会 影响 进度 。 

3. 整个 团队 都 对 所 有 的 一 切 保 持 可 见 ， 因 此 团队 交流 沟通 和 士气 都 得 到 了 提升 。 

4. 客户 可 以 按时 看 到 增 量 的 交付 ， 并 获得 关于 产品 如 何 工 作 的 反馈 。 他 们 不 会 在 最 后 一 
刻 当 开发 团队 宣布 软件 无 法 按时 交付 时 感到 惊讶 。 

5. 客户 和 开发 者 之 间 建 立 了 信任 ， 建 立 了 积极 的 文化 ， 其 中 每 个 人 都 期 望 项 目 能 成 功 。 
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按照 最 初 的 设想 ，Scrum (站 立 式 会 议 ) 将 被 用 于 同 处 一 地 的 团队 ,其 中 所 有 的 团队 成 
员 都 可 以 每 天 在 一 起 参加 站 立 式 会 议 。 然 而 ， 很 多 软件 开发 项 目 现在 都 包含 分 布 式 的 团队 ， 
其 中 团队 成 员 位 于 世界 上 不 同 的 位 置 。 这 使 得 企业 可 以 利用 其 他 国家 中 成 本 较 低 的 员工 ， 可 
以 得 到 所 需 的 专家 技能 ， 并 且 使 24 小 时 开发 成 为 可 能 (在 不 同时 区 进行 的 工作 )， 

因此 ， 现 在 Scrum 方法 已 经 针对 分 布 式 开 发 环境 和 多 团队 工作 进行 改进 。 通 帝 ， 对 于 
离 岸 开发 ， 产 品 负责 人 与 开发 团队 位 于 不 同 的 国家 ， 而 开发 团队 本 身 也 有 可 能 是 分 布 式 的 。 
图 3-10 显示 了 分 布 式 Scrum 方法 (Deemer 2011 ) 的 要 求 。 


Scrum 主 管 应 该 与 开 We 
发 团队 在 同一 地 点 ， 产品 负责 人 应 该 访问 
产品 负责 人 与 以 便 了 解 日 常 的 问题 开发 者 并 且 尽量 与 他 
开发 团队 之 间 们 建立 良好 的 关系 。 
SN 他 们 相互 信任 是 很 重 
的 视频 会 议 
要 的 
分 布 式 Scrum 
面 问 所 有 团队 的 团队 成 员 之 间 通 过 实 
通用 开发 环境 时 交流 建立 非 正 式 的 
持续 集成 ， 以 使 得 沟通 ,特别 是 即时 通 
所 有 的 团队 成 员 都 信和 视频 通话 
可 以 随时 了 解 产 品 
的 状态 


图 3-10 分布 式 Scrum 


3.4 敏捷 方法 的 伸缩 


敏捷 方法 最 初 被 开发 时 ， 其 目的 是 服务 于 可 以 在 同一 个 房间 一 起 工作 并 进行 非 正式 的 交 
流 的 小 编程 团队 。 最 初 人 们 利用 这 些 方法 开发 中 小 规模 的 系统 和 软件 产品 。 没 有 正式 的 过 程 
和 官僚 主义 的 小 公司 是 这 些 方法 最 初 的 热情 支持 者 和 使 用 者 。 

当然 ， 更 快 地 交付 软件 (这 更 适合 于 客户 要 求 ) 的 要 求 同 样 适 用 于 大 型 系统 和 大 公司 。 
因此 ， 在 过 去 这 些 年 中 ， 人 们 投入 人 力 物 力 发 展 敏捷 方法 ， 努 力 使 其 同样 可 以 用 于 大 型 软件 
系统 和 大 公司 之 中 。 

敏捷 方法 的 伸缩 包括 以 下 两 个 密切 相关 的 方面 。 

1. 将 这 些 方法 规模 化 以 处 理 大 系统 的 开发 ， 这 些 系统 往往 因为 太 大 而 无 法 由 单个 的 小 团 
队 来 完成 。 

2. 将 这 些 方法 的 应 用 范围 从 专门 的 开发 团队 扩展 到 在 一 个 有 着 多 年 软件 开发 经 验 的 大 企 
业内 更 加 广泛 地 使 用 。 

当然 ， 这 里 的 规模 化 和 扩展 是 密切 相关 的 。 开 发 大 型 软件 系统 的 合约 通常 都 会 与 较 大 的 
组 织 签订 ， 其 中 会 有 多 个 团队 在 开发 项 目 上 工作 。 这 些 大 企业 经 常 已 经 在 较 小 的 项 目 上 试验 
过 敏捷 方法 ， 因 此 他 们 同时 面临 规模 化 和 扩展 的 问题 。 

关于 敏捷 方法 的 有 效 性 有 很 多 趣闻 ， 有 很 多 都 提 到 敏捷 方法 的 应 用 可 以 带 来 生产 力 方面 
数量 级 的 提升 以 及 与 此 相当 的 缺陷 数量 的 减少 。Ambler ( Ambler 2010) 是 一 个 有 影响 力 的 
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敏捷 方法 开发 者 ， 他 认为 敏捷 方法 对 于 大 型 系统 和 组 织 的 生产 力 提升 被 夸大 了 。 他 认为 一 个 
问 敏捷 方法 转型 的 组 织 可 以 期 望 看 到 整个 组 织 在 3 年 内 生产 力 提升 15% 左右 ， 同 时 产品 缺 
陷 数 量 下 降 比 例 也 差不多 是 15%. 


3.4.1 敏捷 方法 的 实践 问题 


在 某 些 领域 ， 特 别 是 软件 产品 和 应 用 小 程序 的 开发 中 ， 敏 捷 开 发 已 经 取得 了 令 人 难以 置 
信 的 成 功 。 敏 捷 方 法 是 到 目前 为 止 对 于 这 类 系统 最 好 的 开发 方法 。 然 而 ， 敏 捷 方 法 可 能 并 不 
适合 于 其 他 类 型 的 软件 开发 ， 例 如 插入 式 系 统 工程 或 者 大 型 复杂 系统 的 开发 。 

对 于 由 软件 公司 为 外 部 客户 开发 的 大 型 、 长 生命 周期 的 系统 ， 使 用 敏捷 方法 还 存在 着 下 
面 这 些 问 题 。 

1. 敏捷 开发 的 非 正 式 性 与 大 型 企业 中 通常 使 用 的 基于 法 律 的 合同 定义 不 相符 。 

2. 敏捷 方法 最 适合 于 新 的 软件 开发 而 不 是 软件 维护 。 然 而 ， 大 型 企业 软件 成 本 大 部 分 来 
和 目 于 对 于 已 有 软件 系统 的 维护 。 

3. 敏捷 方法 适用 于 小 的 、 同 处 一 地 的 团队 ， 然 而 当前 的 很 多 软件 开发 都 包含 全 球 分 布 的 
开发 团队 。 

当 使 用 敏捷 方法 时 ， 合 同 问题 会 是 一 个 主要 的 问题 。 当 系统 客户 使 用 外 部 的 组 织 进行 系 
统 开 发 时 ， 需 要 相互 之 间 签 订 一 个 开发 合同 。 软 件 需求 文档 通常 会 成 为 客户 和 供应 商 之 间 合 
同 的 一 部 分 。 由 于 敏捷 方法 中 一 个 基本 要 点 是 ， 需 求 和 代码 的 开发 相互 交织 ， 因 此 在 合同 中 
很 难 对 需求 给 出 确定 性 的 陈述 。 | 

因此 ,敏捷 方法 必须 依赖 于 合同 中 明确 客户 按照 系统 开发 所 需要 的 时 间 ， 而 不 是 完成 一 
组 特定 需求 的 开发 来 支付 费用 。 如 果 一 切 进 展 顺 利 ， 那 么 这 对 于 客户 和 开发 者 都 是 有 利 的 。 
然而 ， 如 果 出 现 问题 ， 那 么 很 容易 出 现 争议 ， 很 难 判 断 哪 一 方 应 该 承担 责任 并 为 解决 问题 所 
需要 的 额外 时 间 和 资源 开销 买单 。 

如 第 9 章 所 述 ， 大量 的 软件 工程 工作 量 被 用 于 已 有 软件 系统 的 维护 和 演化 。 敏 捷 实 践 ， 
例如 增 量 交 付 、 面 癌变 化 的 交付 、 保 持 简洁 ， 在 软件 发 生变 化 时 都 是 有 道理 的 。 事 实 上 ， 你 
可 以 认为 敏捷 开发 过 程 是 一 种 支持 持续 变化 的 过 程 。 如 果 人 敏捷 方法 用 于 软件 产品 开发 ， 那 么 
新 的 产品 或 应 用 程序 发 布 只 是 敏捷 方法 的 持续 使 用 。 

然而 ， 当 维护 工作 涉及 一 个 必须 按照 新 的 业务 需求 进行 变更 的 定制 化 系统 时 ， 敏 捷 方 法 
对 于 软件 维护 是 否 适 用 并 没有 一 个 清晰 的 共识 ( Bird 2011; Kilner 2012 ) 。 可 能 会 产生 以 下 3 
类 问题 。 

o 缺少 产品 文档 ; 

e 保持 客户 参与 ; 

e 开发 团队 的 延续 性 。 

正式 的 文档 被 认为 可 以 描述 系统 ， 从 而 使 得 修改 系统 的 人 们 可 以 更 容易 地 理解 系统 。 然 
而 ， 在 实践 中 正式 的 文档 很 少 能 及 时 更 新 ， 因 此 并 不 能 准确 地 反映 程序 代码 。 因 此 ， 敏 捷 方 
法 的 拥护 者 们 强调 书写 文档 是 浪费 时 间 ， 而 实现 可 维护 的 软件 的 关键 是 产 出 高 质量 、 可 读 的 
代码 。 维 护 使 用 敏捷 方法 开发 的 系统 时 ， 缺 少 文档 不 应 该 是 个 问题 。 

然而 ， 根 据 我 的 系统 维护 经 验 ， 最 重要 的 文档 是 系统 需求 文档 ， 它 可 以 告诉 软件 工程 ， 
师 用 户 硕 望 所 开发 的 系统 做 什么 。 没 有 这 样 的 认识 ， 很 难 对 所 提出 的 系统 变更 的 影响 进行 评 
价 。 许 多 敏捷 方法 以 增 量 的 以 及 非 正式 的 方式 收集 需求 ， 不 会 创建 一 个 清晰 的 需求 文档 。 因 
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此 ,使 用 敏捷 方法 可 能 会 使 随后 的 系统 维护 更 加 困难 、 成 本 更 加 昂贵 。 如 果 开 发 团队 的 延续 
性 无 法 得 到 保持 ， 那 么 问题 会 更 大 。 

使 用 敏捷 方法 进行 维护 的 一 个 关键 挑战 是 让 客户 参与 到 过 程 中 来 。 虽 然 客户 可 能 会 觉得 
在 系统 开发 过 程 中 作为 代表 全 时 参与 开发 团队 是 合理 的 ， 但 对 于 维护 过 程 〈 变 化 并 不 是 总 是 
持续 发 生 的 ) 却 很 难 这 样 认 为 。 客 户 代表 很 容易 对 系统 失去 兴趣 。 因 此 ， 很 可 能 需要 对 其 他 
替代 性 的 机 制 (例如 第 25 章 中 介绍 的 变更 提议 ) 进行 调整 以 适应 敏捷 方法 。 

另 一 个 可 能 出 现 的 潜在 问题 是 保持 开发 团队 的 延续 性 。 敏 捷 方 法 依赖 于 团队 成 员 在 没 
有 文档 的 情况 下 理解 系统 的 各 个 方面 。 如 果 敏 捷 开发 团队 解散 了 ， 那么 这 些 隐 式 的 知识 会 丢 
失 ， 新 的 团队 成 员 很 难 对 系统 及 其 各 个 构件 构建 起 同样 的 理解 。 许 多 程序 员 更 喜欢 进行 新 的 
开发 工作 而 不 是 进行 软件 维护 ， 因 此 他 们 会 不 愿意 在 一 个 软件 系统 的 第 一 个 发 布 版 本 交付 后 
继续 参与 该 系统 的 开发 。 因 此 ， 即 使 有 意识 地 将 开发 团队 保持 在 一 起 ， 如 有 果 开 发 人 员 被 分 配 
去 做 维护 任务 ， 他 们 也 会 选择 离开 。 


3.4.2 ”敏捷 和 计划 驱动 的 方法 


规模 化 和 扩展 敏捷 方法 的 一 个 根本 要 求 是 与 计划 驱动 的 方法 相 集 成 。 小 的 初创 企业 可 
以 使 用 非 正 式 的 短期 计划 ， 但 是 更 大 的 大 企业 必须 有 更 长 期 的 计划 以 及 与 投资 、 人 员 、 业 
务 发 展 相 关 的 预算 。 他 们 的 软件 开发 必须 支持 这 些 计 划 ， 因 此 更 长 期 的 软件 计划 是 很 重 
要 的 ， 

21 世纪 初期 的 那些 敏捷 方法 的 早期 使 用 者 都 比较 狂热 ， 对 于 敏捷 宣言 深信 不 疑 。 他 们 
有 意 将 计划 驱动 的 软件 工程 方法 排除 在 外 ， 不 愿意 以 任何 方式 改变 敏捷 方法 最 初 的 愿景 。 然 
而 ， 随 着 一 些 组 织 发 现 敏捷 方法 的 价值 和 益处 ， 他 们 对 这 些 敏 捷 方 法 进行 了 调整 以 适应 他 们 
自己 的 文化 和 工作 方式 。 他 们 必须 这 样 做 ， 因 为 敏捷 方法 的 基本 原则 有 时 候 很 难 在 实践 中 实 
现 ( 见 图 3-11 )。 


这 有 赖 于 客户 愿意 并 且 能 够 花 时 间 与 开发 团队 在 一 起 ， 并 且 能 代表 所 有 的 系统 利益 
相关 者 a 客户 代表 经 常 要 在 其 他 事情 上 花 时 间 ， 无 法 全 时 参加 软件 开发 。 如 果 还 存在 
外 部 的 利益 相关 者 ， 例 如 监管 者 ， 那 么 很 难 有 人 能 在 敏捷 团队 中 代表 他 们 的 观点 

对 变化 进行 优先 级 排序 可 能 极其 困难 ， 特 别 是 有 很 多 利益 相关 者 的 系统 。 通 常 ， 每 
个 利益 相关 者 会 给 不 同 的 变更 不 同 的 优先 级 


开发 的 快速 迭代 和 短期 计划 并 不 总 是 与 业务 和 市 场 的 长 期 计划 周期 相 适 应 ,市场 经 
理 可 能 要 提前 几 个 月 了 解 产 品 特性 ， 从 而 能 够 准备 一 个 有 效 的 营销 活动 

在 交付 进度 的 压力 下 ， 团 队 成 员 可 能 没 时 间 进 行 所 希望 的 系统 简化 工作 

某 些 团 队 成 员 的 个 性 可 能 并 不 适合 于 敏捷 方法 通常 所 要 求 的 热情 参与 ， 内 此 可 能 与 
其 他 团队 成 员 的 交互 并 不 太 好 





图 3-11 “敏捷 原则 和 组 织 实践 


为 了 应 对 这 些 问 题 ， 大 多 数 大 型 的 “敏捷 ”软件 开发 项 目 都 来 自 计 划 驱 动 的 方法 与 敏 
捷 方法 的 实践 相 结合 。 有 些 几 乎 主要 是 敏捷 实践 ， 而 其 他 一 些 则 主要 是 计划 驱动 但 带 有 一 些 
敏捷 实践 。 为 了 确定 如 何在 基于 计划 的 方法 和 敏捷 方法 之 间 做 出 平衡 ， 你 必须 回答 一 系列 与 
技术 、 人 和 组 织 相关 的 问题 。 这 些 与 所 开发 的 系统 、 开 发 团队 、 开 发 和 采购 系统 的 组 织 相关 
( 见 图 3-12). 


PIÈ RLRGAK 53 











图 3-12 影响 基于 计划 或 敏捷 开发 方法 选择 的 因素 


敏捷 方法 被 开发 以 及 在 项 目 中 不 断 细 化 ， 以 便 用 于 开发 中 小 规模 的 业务 系统 和 软件 产 
品 ， 其 中 软件 开发 者 控制 着 系统 的 规格 说 明 。 其 他 类 型 的 系统 在 规模 、 复 杂 性 、 实 时 响应 、 
外 部 监管 等 方面 所 具有 的 特性 意味 着 “纯粹 的 ”敏捷 方法 很 难 奏效 。 这 些 系 统 需要 在 系统 工 
程 过 程 中 提前 进行 计划 、 设 计 和 文档 化 。 其 中 的 一 些 关键 问题 如 下 。 

1. 所 开发 的 系统 有 多 大 ? 敏捷 方法 在 系统 能 够 由 一 个 相对 较 小 且 处 于 同一 地 点 、 可 以 进 
行 非 正 式 交 流 的 团队 开发 时 最 有 效 。 这 对 于 需要 更 大 的 开发 团队 的 大 型 系统 而 言 可 能 不 太 可 
能 ， 因 此 必须 使 用 计划 驱动 的 方法 。 

2. 所 开发 的 系统 是 什么 类 型 ? 需要 在 实现 之 前 做 很 多 分 析 的 系统 (例如 ， 具 有 复杂 的 时 
间 性 需求 的 实时 系统 )， 通常 需要 一 个 相当 详细 的 设计 来 进行 这 种 分 析 。 计 划 驱 动 的 方法 在 
这 种 环境 下 可 能 是 最 佳 选 择 。 

3. 所 期 望 的 系统 生命 周期 有 多 长 ? 长 生命 周期 的 系统 可 能 需要 更 多 的 设计 文档 化 ， 从 而 
将 系统 开发 者 最 初 的 意图 传达 给 支持 团队 。 然 而 ， 敏 捷 方 法 的 支持 者 坚持 认为 ， 文 档 经 常 无 
法 保持 最 新 并 且 对 于 长 期 的 系统 维护 没什么 用 ， 在 这 一 点 上 他 们 是 正确 的 。 

4. 系统 是 否 要 接受 外 部 监管 ? 如 果 一 个 系统 必须 得 到 外 部 监管 者 的 批准 (例如 ,联邦 航 
空 管理 机 构 负 责 审批 影响 飞机 安全 运行 的 关键 软件 )， 那 么 很 可 能 必须 提供 详细 的 文档 以 作 
为 系统 安全 用 例 的 一 部 分 。 

敏捷 方法 对 开发 团队 在 系统 开发 过 程 中 进行 协作 和 沟通 施加 了 很 多 责任 。 他 们 的 开发 
过 程 依 赖 于 个 人 的 工程 技能 和 软件 支持 。 然 而 ， 在 现实 中 不 是 每 个 人 都 是 一 个 高 技能 的 工程 
师 ， 人 们 可 能 会 无 法 有 效 交 流 ， 而 团队 也 不 总 是 能 够 在 一 起 工作 。 可 能 需要 一 些 计划 来 充分 
利用 可 用 的 人 人。 关键 问题 如 下 。 

1. 开发 团队 中 的 设计 者 和 程序 员 怎 么 样 ? 有 人 认为 敏捷 方法 所 需要 的 技能 水 平 比 基 于 计 
划 的 方法 要 求 更 高 。 在 基于 计划 的 方法 中 ， 程 序 员 只 需要 将 详细 的 设计 转换 为 代码 。 如 果 开 
发 团队 技能 水 平 相对 较 低 ， 那 么 可 能 要 用 最 好 的 人 来 开发 系统 设计 ， 而 让 其 他 人 负责 编程 。 

2. 开发 团队 是 如 何 组 织 的 ? 如果 开发 团队 分 布 在 不 同 地 方 或 者 一 部 分 开发 任务 是 外 包 
AY, 那么 可 能 需要 开发 设计 文档 ， 利 用 该 文档 进行 跨 开发 团队 的 交流 和 沟通 。 

3. 可 用 的 支持 系统 开发 的 技术 有 哪些 ?敏捷 方法 经 常 依赖 于 好 的 工具 来 对 不 断 演化 的 设 
计 进 行 退 躁 。 如 末 开 发 者 在 一 个 不 具备 好 的 程序 可 视 化 和 分 析 工 具 的 集成 开发 环境 下 开发 一 
个 系统 ， 那 么 可 能 需要 更 多 的 设计 文档 。 

电视 剧 和 电影 已 经 造成 了 一 种 被 广泛 接受 的 关于 软件 公司 的 印象 ， 即 由 年 轻 人 《大 部 
分 ) 管理 ， 提 供 流行 时 尚 的 工作 环境 ， 几 乎 没有 官僚 主义 和 组 织 规程 。 事 实 远 非 如 此 。 大 多 
数 软件 部 是 在 已 经 建立 了 自己 的 工作 实践 和 规程 的 大 企业 里 开发 的 。 这 些 企业 中 的 管理 人 员 
可 能 会 对 敏捷 方法 中 缺少 文档 以 及 非 正 式 的 决策 等 做 法 感到 不 适 。 其 中 的 关键 问题 如 下 。 
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1. 在 开始 实现 之 前 有 一 个 非常 详细 的 规格 说 明和 设计 很 重要 吗 (也 许 是 出 于 合同 的 原 
因 ) ? 如 果 是 这 样 的 话 ， 那 么 很 有 可 能 要 使 用 计划 驱动 的 方法 来 进行 需求 工程 ， 但 是 可 以 在 
系统 实现 过 程 中 使 用 敏捷 开发 实践 。 

2. 增 量 的 交付 策略 ， 即 你 向 客户 或 其 他 系统 利益 相关 者 交付 软件 并 获得 来 自 他 们 的 快速 
反馈 ， 这 现实 吗 ? 是 否 有 可 用 的 客户 代表 ， 他 们 愿意 参加 开发 团队 吗 ? 

3. 是 否 存 在 可 能 影响 系统 开发 的 文化 问题 ? 传统 的 工程 化 组 织 有 着 基于 计划 的 开发 的 文 
化 ， 因 为 这 是 工程 化 的 一 般 做 法 。 这 通常 需要 全 面 的 设计 文档 而 不 是 敏捷 过 程 中 所 使 用 的 非 
正式 的 知识 。 

在 现实 中 ， 一 个 项 目 是 否 可 以 贴 上 计划 驱动 或 敏捷 开发 的 标签 并 不 那么 重要 。 最 终 ， 软 
件 系 统 的 购买 者 的 主要 关注 点 是 他 们 能 否 获 得 满足 他 们 需要 、 为 各 个 用 户 或 组 织 做 有 用 的 事 
情 、 可 运行 的 软件 系统 。 软 件 开发 者 应 当 采 取 实 用 主义 的 态度 ， 无 论 他 们 被 贴 上 敏捷 或 计划 
驱动 的 标签 ， 都 应 该 选择 那些 对 于 所 开发 的 系统 类 型 最 有 效 的 方法 。 


3.4.3 面向 大 型 系统 的 敏捷 方法 
敏捷 方法 必须 发 展 变化 以 适用 大 规模 


软件 开发 。 甚 中 的 根本 原因 是 大 规模 软件 棕 地 软件 开发 
系统 的 理解 和 管理 比 小 规模 系统 或 软件 产 利益 相关 者 


品 要 复杂 和 困难 得 多 。 这 种 复杂 性 来 源 于 6 
个 主要 的 因素 (OLA 3-13). 

1. 大 型 系统 通常 都 是 系统 之 系统 ， 即 : 
独立 的 且 相 互通 信 的 系统 集合 ， 其 中 不 同 
的 独立 团队 分 别 开 发 每 个 系统 。 这 些 团 队 SERN 
经 常 处 在 不 同 的 地 方 工作 ， 有 时 候 还 会 分 图 3.13 ”大 型 项 目的 特点 
布 于 不 同 的 时 区 。 而 每 个 团队 想 全 面 了 解 
整个 系统 则 尤其 困难 。 因 此 ， 他 们 通常 都 会 选择 在 不 考虑 更 广 范 围 内 的 系统 问题 的 情况 下 完 
成 他 们 自己 所 负责 的 那 部 分 系统 。 - 

2. 大 型 系统 是 棕 地 (brownfield) 系统 ( Hopkins and Jenkins 2008 )， 即 包含 一 些 现 有 的 
系统 并 且 要 与 之 交互 。 系 统 需求 中 很 大 一 部 分 都 关注 这 种 交互 ， 因 此 难以 真正 地 具有 灵活 性 
并 适合 增 量 开发 。 这 里 的 政治 问题 也 可 能 会 很 突出 ,一 个 最 容易 的 解决 方案 经 常 是 修改 一 个 
已 有 系统 。 然 而 ， 这 需要 与 该 系统 的 管理 人 员 协 商 ， 以 说 服 他 们 所 进行 的 修改 可 以 在 不 给 系 
统 运行 带 来 风险 的 情况 下 实现 。 

3. 当 通 过 集成 多 个 系统 创建 一 个 新 系统 时 ， 开 发 工作 中 很 大 一 部 分 都 关注 子 系统 的 配置 
而 不 是 原始 的 代码 开发 。 这 与 增 量 开发 以 及 频繁 的 系统 集成 的 思想 不 太 相 符 。 

4. 大 型 系统 及 其 开发 过 程 经 常 受到 外 部 的 规则 和 监管 制约 ， 这 限制 了 系统 的 开发 方式 ， 
并 且 要 求 产生 特定 类 型 的 系统 文档 等 。 客 户 可 能 会 有 一 些 必 须 遵循 的 特定 的 兼容 性 需求 ， 这 
些 可 能 要 求 提 供 过 程 文档 。 

5. 大 型 系统 的 采购 和 开发 时 间 很 长 。 维 持 一 个 具有 延续 性 、 了 解 系统 的 整个 开发 过 程 的 
团队 是 很 困难 的 ， 因 为 人 们 不 可 避免 地 会 调动 到 其 他 工作 岗位 或 项 目 中 。 

6. 大 型 系统 通常 有 一 组 多 种 多 样 的 利益 相关 者 ， 他 们 的 观点 和 目标 各 不 相同 。 例 如 ， 护 
士 和 行政 管理 人 员 可 以 是 一 个 医疗 系统 的 最 终 用 户 ， 但 是 高 级 的 医护 人 员 、 医 院 管理 者 也 是 
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系统 中 的 利益 相关 者 。 在 实践 中 不 可 能 把 所 有 这 些 不 同 的 利益 相关 者 都 纳入 到 开发 过 程 中 。 

Dean Leffingwell 在 敏捷 方法 的 规模 化 方面 有 很 丰富 的 经 验 ， 他 开发 了 一 种 规模 化 敏捷 
框架 (Scaled Agile Framework)(Leffingwell 2007,2011 ) 来 支持 大 规模 、 多 团队 的 软件 开发 ， 
并 说 明了 这 个 方法 如 何 成 功 应 用 于 一 些 大 型 企业 。IBM 也 开发 了 一 个 用 于 敏捷 方法 的 大 规模 
使 用 的 框架 ， 称 为 敏捷 规模 化 模型 (Agile Scaling Model，ASM)。 图 3-14 取 自 Ambler 讨论 
ASM 的 白皮书 (Ambler 2010 )， 描 述 了 这 个 模型 的 概貌 。 


核心 敏捷 开发 
价值 驱动 的 生命 周期 规范 化 的 敏捷 交付 
自 组 织 团队 风险 + 价值 驱动 的 生命 周期 


关注 构建 具有 适当 的 管理 框架 的 自 组 织 
全 交付 生命 周期 






敏捷 规模 化 
规模 化 因素 适用 的 规范 化 

敏捷 交付 
团队 规模 大 
地 理 分 布 
监管 要 求 
领域 复杂 性 
组 织 分 布 
技术 复杂 性 
组 织 复杂 性 
企业 


st el ea” 
dh hi 
图 3-14 IBM 的 敏捷 规模 化 模型 (© IBM 2010 ) 


ASM 认识 到 规模 化 是 一 个 阶段 性 的 过 程 ， 其 中 开发 团队 从 这 里 讨论 的 核心 敏捷 实践 逐 
渐 转 变 为 所 谓 的 规范 化 的 敏捷 交付 。 从 根本 上 讲 ， 这 一 阶段 包含 了 对 于 这 些 实践 的 调整 以 适 
应 规范 化 的 组 织 设 定 ， 并 且 认 识 到 了 团队 不 能 简单 地 关注 开发 而 是 必须 同时 考虑 软件 工程 过 
程 的 其 他 阶段 〈 例 如， 需求 和 体系 结构 设计 )。 

ASM 最 终 的 规模 化 阶段 是 进入 到 规模 化 敏捷 ， 其 中 考虑 到 了 大 型 项 目 所 固有 的 复杂 性 。 
这 包括 对 分 布 式 开 发 、 复 杂 的 遗留 环境 、 外 部 监管 要 求 等 因素 的 考虑 。 用 于 实现 规范 化 敏捷 
交付 的 实践 必须 根据 不 同 项 目 进行 修改 ， 以 考虑 这 些 因素 ， 有 时 还 需要 在 过 程 中 增加 额外 的 
基于 计划 的 实践 。 
没有 哪 一 个 模型 适合 于 所 有 的 大 规模 敏捷 产品 ， 因 为 产品 的 类 型 、 客 户 需 求 、 可 用 的 人 
部 不 一 样 。 然 而 ， 规 模 化 的 敏捷 方法 有 以 下 这 些 共性 的 东西 。 

1. 一 个 完全 增 量 的 需求 工程 方法 是 不 可 能 的 。 在 初始 的 软件 需求 上 进行 一 些 早 期 的 工作 
是 很 重要 的 。 开 发 人 员 需 要 通过 这 个 来 确定 系统 包含 哪些 可 以 由 不 同 团队 开发 的 不 同 部 分 ， 
这 些 经 常会 成 为 系统 开发 合同 的 一 部 分 。 然 而 ， 这 些 需 求 通常 不 需要 详细 刻画 ， 细 节 最 好 增 
量 地 进行 开发 。 

2. 没有 哪个 人 能 单独 作为 产品 负责 人 或 客户 代表 。 不 同 的 人 必须 参与 系统 的 不 同 部 分 ， 
他 们 必须 在 整个 开发 过 程 中 持续 地 进行 交流 和 协商 。 

3. 不 可 能 只 关注 系统 的 代码 。 开 发 人 员 需 要 进行 更 多 的 前 期 设计 和 系统 的 文档 化 。 必 须 
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作 分 解 。 

4. 必须 设计 和 实施 整个 团队 的 沟通 机 制 。 这 应 当 包 括 团队 成 员 之 间 第 规 的 电话 和 视频 会 
议 ， 以 及 频繁 进行 的 简短 的 电子 会 议 以 便 团 队 成 员 相互 更 新 进度 。 应 当 提供 各 种 各 样 的 沟通 
渠道 ， 例 如 ， 电 子 邮 件 、 即 时 通信 、Wiki、 社 交 网 络 系统 等 ， 以 有 助 于 成 员 交 流 和 沟通 。 

5. 当 系 统 必须 通过 多 个 独立 程序 的 集成 来 创建 时 候 ， 持 续集 成 (其 中 任何 一 个 开发 人 员 
提交 修改 时 都 对 整个 系统 进行 构建 ) 在 实践 中 无 法 实现 。 然 而 ,保持 频繁 的 系统 构建 以 及 常 
规 的 系统 发 布 是 很 重要 的 。 文 持 多 团队 软件 开发 的 配置 管理 工具 也 十 分 重要 。 

Scrum 方法 已 经 通过 调整 来 适应 大 范围 的 开发 。 从 本 质 上 说 ，3.3 节 中 描述 的 Scrum Hl 
队 模 型 得 以 保持 ， 但 是 设 定 了 多 个 Scrum 团队 。 多 团队 Scrum 方法 的 关键 特性 如 下 。 

1. 角色 重复 。 每 个 团队 都 有 一 个 产品 负责 人 和 Scum 主管 。 整 个 项 目 可 能 还 有 一 个 首 
席 产 品 负责 人 和 Scrum 主管 。 

2. 产品 架构 师 。 每 个 团队 选择 一 个 产品 架构 师 ， 这 些 架 构 师 相互 协作 对 整体 的 系统 体系 
结构 进行 设计 和 演化 。 

3. 发 布 同步 。 对 每 个 团队 的 产品 发 布 日 期 进行 同步 ， 从 而 产生 一 个 可 演示 和 完整 的 
系统 。 

4. Scrum 团队 的 每 日 站 立会 议 。Scrum 团队 之 间 每 天 进行 站 立 式 会 议 ， 来 自 各 个 团队 的 
代表 会 面 讨论 进度 、 发 现 问题 并 且 计 划 当 前 要 做 的 工作 。 各 个 团队 的 每 日 站 立会 议 可 以 在 时 
间 上 错开 ， 从 而 使 来 自 其 他 团队 的 代表 在 必要 的 时 候 可 以 参加 。 


3.4.4 面向 整个 组 织 的 敏捷 方法 


开发 软件 产品 的 小 软件 公司 通常 是 敏捷 方法 最 热情 的 采用 者 。 这 些 公司 不 会 受到 组 织 的 
官僚 主义 或 过 程 标准 的 限制 ， 并 且 可 以 为 了 采用 新 想法 而 快速 变化 。 当 然 ， 更 大 的 公司 也 在 
一 些 项 目 中 尝试 过 敏捷 方法 ， 但 是 对 他 们 而 言 ， 在 整个 组 织 范围 内 “扩展 ”这 些 方法 的 使 用 
范围 要 困难 得 多 。 

加 大 公司 引入 敏捷 方法 之 所 以 困难 是 因为 以 下 这 些 原 因 。 

1. 没有 敏捷 方法 经 验 的 项 目 经 理 可 能 担心 接受 新 方法 而 带 来 的 风险 ， 因 为 他 们 不 知道 这 
些 方法 会 对 他 们 的 一 些 特定 的 项 目 造成 什么 样 的 影响 。 

2. 大 型 组 织 经 常 都 制定 了 所 有 项 目 都 要 遵循 的 质量 规程 和 标准 ， 因 为 他 们 的 官僚 主义 状 
况 ， 这 些 很 有 可 能 会 与 敏捷 方法 不 相 适 应 。 有 时 候 这 些 规 程 和 标准 由 软件 工具 (例如 ， 需 求 
管理 工具 ) 来 支持 ， 并 明确 要 求 所 有 项 目 都 使 用 这 些 工 具 。 

3. 敏捷 方法 似乎 在 团队 成 员 具 有 相对 较 高 的 技能 水 平时 效果 最 好 。 然 而 ， 在 大 型 组 织 
中 ， 很 有 可 能 人 员 的 技术 和 能 力 水 平 参差 不 齐 ， 技 能 水 平 较 差 的 人 在 敏捷 过 程 中 可 能 很 难 成 
为 一 个 有 效 的 团队 成 员 。 

4. 敏捷 方法 可 能 会 存在 文化 上 的 抵制 ， 特 别 是 在 那些 长 期 使 用 传统 系统 工程 过 程 的 组 
织 中 。 

变更 管理 和 测试 规程 是 公司 规程 的 两 个 例子 ， 它 们 可 能 与 敏捷 方法 不 相 适 应 。 变 更 管理 
是 对 一 个 系统 的 变更 进行 控制 的 过 程 ， 其 目的 是 使 变更 的 影响 可 预测 而 成 本 能 够 得 到 控制 。 
所 有 的 变更 都 必须 在 实施 之 前 提前 得 到 批准 ， 这 与 重 构 的 思想 相 冲 突 。 当 重 构 成 为 敏捷 过 程 
的 一 部 分 时 ， 任 何 开发 者 都 可 以 在 不 需要 外 部 批准 的 情况 下 改进 任何 代码 。 对 于 大 型 系统 ， 
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还 存在 测试 标准 ， 其 中 系统 的 构建 版 本 会 交 给 外 部 的 测试 团队 。 这 可 能 与 敏捷 开发 方法 中 所 
使 用 的 测试 先行 的 方法 相 冲 突 

在 一 个 大 型 组 织 中 引入 并 持续 使 用 敏捷 方法 是 一 个 文化 改变 的 过 程 。: 文 化 改变 需要 很 长 
时 间 来 实现 ， 而 且 在 实现 之 前 经 常 需要 管理 上 的 变化 。 希 望 使 用 敏捷 方法 的 企业 需要 敏捷 方 
法 的 传道 者 来 推动 变化 ， 但 并 不 是 要 向 不 情愿 的 开发 者 强制 推行 敏捷 方法 。 很 多 企业 都 发 现 
引入 敏捷 的 最 好 方法 是 一 点 点 来 ， 从 一 个 充满 热情 的 开发 小 组 开始 。 一 个 成 功 的 敏捷 项 目 可 
以 作为 一 个 起 点 ， 然 后 项 目 团队 青 将 敏捷 实践 扩展 到 整个 组 织 。 一 旦 敏捷 的 思想 得 到 了 广泛 
理解 ， 那 么 就 可 以 采取 明确 的 动作 将 其 扩展 到 整个 组 织 。 


要 点 


© 敏捷 方法 是 迭代 化 开发 方法 ， 关 注 减少 过 程 开销 和 文档 化 ， 强 调 增 量 式 的 软件 交付 。 
敏捷 方法 直接 将 客户 代表 包含 在 开发 过 程 中 。 

o 关于 使 用 敏捷 还 是 计划 驱动 的 方法 进行 软件 开发 的 决定 应 当 取 决 于 所 开发 的 软件 类 
型 、 开 发 团队 的 能 力 、 开 发 系统 的 企业 的 文化 。 在 实践 中 ， 可 以 将 敏捷 和 基于 计划 
的 技术 混合 使 用 。 

© 敏捷 开发 实践 包括 将 需求 表达 为 用 户 故 事 、 结 对 编程 、 重 构 、 持 续集 成 和 测试 先行 
的 开发 。 

© Scrum 是 一 种 敏捷 方法 ， 为 敏捷 项 目的 组 织 提供 了 一 个 框架 。Scrum 开发 围绕 着 一 
冲刺 开展 ， 每 次 冲刺 都 是 一 个 开发 系统 增 量 的 固定 时 长 的 期 间 。 制 定 计划 的 方式 是 
对 符 办 事项 进行 优先 级 排序 并 为 下 一 个 冲刺 选取 优先 级 最 高 的 任务 。 

o 为 了 使 敏捷 方法 规模 化 ， 必 须 将 一 些 基 于 计划 的 实践 与 敏捷 实践 相 集成 。 这 些 实 践 
包括 预先 考虑 需求 、 多 个 客户 代表 、 更 多 的 文档 、 整 个 项 目 团 队 采 用 同样 的 工具 、 
在 团队 之 间 进 行 发 布 版 本 的 同步 。 


阅读 推荐 


《 Get Ready for Agile Methods, With Care 》 是 一 个 有 着 深厚 经 验 的 软件 工程 师 所 写 ， 
其 中 对 敏捷 方法 进行 了 深刻 的 评论 ， 讨 论 了 敏捷 方法 的 优点 和 缺点 。 虽 然 已 经 是 15 年 前 的 
文章 了 ， 但 仍然 非常 值得 关注 。( B. Boehm, IEEE Computer, January 2002 ) http://dx.doi. 
org/10.1109/2.976920 

( Extreme Programming Explained 》 是 第 一 本 关于 XP 方法 的 书 ， 也 许 至 今 仍 然 是 可 读 
性 最 高 的 一 本 。 书 中 从 XP 方法 的 一 位 发 明 者 的 观点 出 发 对 该 方法 进行 了 解释 ， 整 本 书 都 透 
露 春 他 的 热情 。(K. Beck and C. Andres, Addison-Wesley, 2004 ) 

( Essential Scrum: A Practical Guide to the Most Popular Agile Process 》 对 于 Scrum 方法 
的 发 展 进行 了 全 面 和 易于 理解 的 介绍 。(K. S. Rubin, Addison-Wesley, 2013 ) 

( Agility at Scale: Economic Governance, Measured Improvement and Disciplined 
Delivery 》 这 篇 论文 介绍 了 IBM 的 敏捷 规模 化 方法 ， 其 中 包括 一 个 系统 性 的 方法 来 集成 基 
于 计划 的 开发 以 及 敏捷 开发 。 其 中 对 于 敏捷 规模 化 中 的 关键 问题 进行 了 出 色 和 深入 的 探讨 。 
(A. W. Brown, S. W. Ambler, and W. Royce, Proc. 35th Int. Conf. on Software Engineering, 
2013 ) http://dx.doi.org/10.1145/12944.12948 
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网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap3/ 
文 持 视频 的 链接 : http://software-engineering-book.com/videos/agile-methods/ 


练习 
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3.6 


3.7 


3.8 


3.9 


为 什么 新 系统 的 快速 交付 和 部 署 对 于 业务 而 言 经 常 比 这 些 系统 的 详细 功能 更 重要 ? 
敏捷 方法 所 基于 的 原则 是 如 何 加 快 软件 的 开发 和 部 署 的 ? 

极限 编程 将 用 户 需 求 表 达 为 故事 ， 每 个 故事 写 在 卡片 上 。 讨 论 这 种 方法 对 于 需求 描述 
的 优点 和 缺点 。 

为 什么 测试 先行 的 开发 可 以 帮助 程序 员 更 好 地 理解 系统 需求 ? 测试 先行 的 开发 有 什么 
潜在 的 困难 ? 

针对 结对 工作 的 程序 员 的 生产 率 为 什么 可 能 比 两 个 单独 工作 的 程序 员 的 生产 率 的 一 半 
要 多 提出 4 点 原因 。 

比较 Scrum 方法 和 传统 的 基于 计划 的 方法 中 的 项 目 管理 (如 第 23 草 所 介绍 的 )。 你 的 
比较 应 该 基于 每 种 方法 对 项 目 人 员 分 配 计划 、 项 目 成 本 估算 、 维 持 团 队 延 续 性 、 管 理 
项 目 团 队 成 员 变 化 等 方面 的 有 效 性 。 

为 了 降低 计算 的 成 本 以 及 对 于 环境 的 影响 ， 你 的 公司 决定 关闭 一 些 办 公 室 ， 并且 为 员 
工 在 家 工作 提供 支持 。 然 而 ， 引 入 该 政策 的 高 级 管理 层 不 知道 团队 正在 使 用 Serum 方 
法 开发 软件 。 解 释 如 何 使 用 技术 来 支持 分 布 式 环境 下 的 Scrum 方法 从 而 使 在 家 工作 成 
为 可 能 。 使 用 这 一 方法 最 有 可 能 遇 到 什么 样 的 问题 ? 

为 什么 在 将 敏捷 方法 规模 化 应 用 到 由 分 布 式 开发 团队 开发 的 更 大 项 目 中 的 时 候 ， 有 必 
要 从 基于 计划 的 方法 中 引入 一 些 方法 和 文档 ? 

为 什么 在 大 型 项 目 中 使 用 敏捷 方法 开发 一 个 将 作为 组 织 的 系统 之 系统 的 一 部 分 的 新 信 
息 系 统 时 可 能 很 困难 ? 


3.10 ”让 一 个 用 户 紧密 参与 软件 开发 团队 的 一 个 问题 是 他 们 会 被 “同化 "。 也 就 是 说 ,他 们 
会 采用 开发 团队 的 观点 ， 并 丢掉 关于 用 户 需 要 的 观点 。 提 出 3 种 有 利于 避免 这 一 问题 
的 方法 ， 并 讨论 每 种 方法 的 优点 和 缺点 。 
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目标 

本 章 的 目标 是 介绍 软件 需求 ， 解 释 在 发 现 并 文档 化 这 些 需求 的 过 程 中 所 涉及 的 过 程 。 阅 
读 完 本 章 后 ， 你 将 : 

e 理解 用 户 和 系统 需求 的 概念 ， 以 及 为 什么 这 些 需求 应 当 以 不 同 的 方式 进行 描述 ; 

o 理解 功能 和 非 功 能 性 软件 需求 的 区 别 ; 

e 理解 主要 的 需求 工程 活动 ， 包 括 抽 取 、 分 析 、 确 认 ， 以 及 这 些 活动 之 间 的 关系 ; 

o 理解 需求 管理 的 必要 性 ， 以 及 需求 管理 如 何 文 持 其 他 需求 工程 活动 。 

对 一 个 系统 的 需求 是 关于 该 系统 应 当 提 供 的 服务 以 及 对 其 运行 的 约束 的 描述 。 这 些 需 
求 反 映 了 客户 对 一 个 系统 的 需要 ， 这 种 需要 服务 于 一 定 的 目的 ， 例 如 控制 一 个 设备 、 下 订单 
或 者 找到 所 要 的 信息 。 找 出 、 分 析 、 文 档 化 并 且 检 查 这 些 服 务 和 约束 的 过 程 被 称 为 需求 工程 
(Requirement Engineering, RE). 

术语 需求 (requirement) 在 软件 产业 中 的 使 用 并 不 完全 一 致 。 有 些 时 候 ， 一 个 需求 只 是 
一 个 关于 系统 应 当 提供 的 服务 或 者 一 个 对 于 系统 的 约束 的 高 层 抽象 陈述 。 而 在 另 一 个 极端 
上 ， 它 又 指 的 是 关于 系统 功能 的 详细 和 正式 的 定义 。Davis (Davis 1993 ) 如 下 解释 这 一 区 别 
存在 的 原因 : 

如 果 一 个 公司 想 通过 一 个 合同 完成 一 个 大 型 的 软件 开发 项 目 ， 那 么 它 必 须 以 一 种 足够 抽 
象 的 方式 定义 它 的 要 求 ， 以 避免 事先 定义 相应 的 解决 方案 。 这 些 需求 必须 写 下 来 以 使 得 多 个 
承包 商 可 以 对 该 合同 进行 投标 、 报 价 ， 也 许 还 可 以 提出 不 同 的 方式 来 满足 客户 组 织 的 要 求 。 
一 旦 确定 合同 投标 结果 ， 承 包 商 必须 更 加 详细 地 为 客户 编写 一 个 系统 定义 以 使 客户 理解 软件 
可 以 做 什么 并 对 其 进行 确认 。 这 些 文档 都 可 以 称 为 系统 的 需求 文档 。 

需求 工程 过 程 中 出 现 的 一 些 问 题 是 由 于 没有 清晰 地 区 分 这 些 不 同 摘 述 层次 上 的 需求 而 造 
成 的 。 为 了 加 以 区 分 ， 本 书 用 术语 用 户 需求 来 指 高 层 的 抽象 需求 ， 而 用 系统 需求 来 指 关 于 系 
统 应 当 作 什 么 的 详细 描述 。 用 户 需 求 和 系统 需求 可 以 按照 下 面 这 样 定义 。 

1. 用 户 需 求 使 用 目 然 语 言 和 图 形 ， 陈 述 系统 被 期 望 回 系统 用 户 提供 什么 服务 以 及 系统 运 
行 必须 满足 的 约束 。 用 户 需 求 可 以 是 对 系统 特征 的 大 概 陈 述 ， 也 可 以 是 关于 系统 功能 的 详细 
和 精确 的 描述 。 

2. 系统 需求 是 对 软件 系统 的 功能 、 服 务 和 运行 约束 的 更 详细 的 描述 。 系 统 需求 文档 (有 
时 候 被 称 为 功能 规格 说 明 ) 应 该 精确 定义 要 实现 哪些 东西 。 它 可 以 是 系统 购买 方 和 软件 开发 
者 之 间 合 同 的 一 部 分 。 

加 不 同类 型 的 读者 传达 关于 一 个 系统 的 信息 需要 不 同类 型 的 需求 。 图 4-1 描述 了 用 户 需 
求 和 系统 需求 之 间 的 区 分 。 这 个 例子 出 自 心 理 健 康 病 人 信息 系统 ( Mentcare 系统 )， 其 中 反 
映 了 一 个 用 户 需 求 可 以 如 何 扩 展 为 多 个 系统 需求 。 可 以 从 图 4-1 中 看 到 用 户 需 求 非常 党 统 。 
系统 需求 提供 了 关于 要 实现 的 系统 服务 和 功能 的 更 加 明确 的 信息 。 


© Davis, A. M. 1993. Software Requirements: Objects, Functions and States. Englewood Cliffs, NJ: Prentice-Hall. 







系统 需求 规格 说 明 
1.1 在 每 个 月 最 后 一 个 下 作 日 ， 应 当 生 成 关于 所 开 药 品 的 汇总 、 它 
们 的 成 本 以 及 开 药 的 诊所 。 
1.2 系统 应 当 在 当月 最 后 一 个 工作 日 的 17:30 之 后 生成 用 于 打印 的 


报告 


1.3 应 当 为 每 个 诊所 创建 一 个 报告 ， 其 中 要 列 出 各 个 药品 的 名 字 、 
所 开 的 总 数量 、 所 开 的 剂量 数字 ,以 及 所 开 药 品 的 总 成 本 。 

1.4 如 果 药 品 存在 不 同 的 剂量 单位 〈 例如 ，10 毫 到 、20 毫 克 等 , 
那么 应 当 为 每 一 种 剂量 单位 创建 独立 的 报告 。 

1.5 访问 药品 成 本 报告 的 权限 应 当 限 制 ， 只 允许 管理 访问 控制 列表 
中 的 授权 用 户 进行 访问 。 


图 4-1 用 户 需 求 与 系统 需求 
开发 人 员 要 在 不 同 的 抽象 层次 上 书写 | 
需求 ， 因 为 不 同类 型 的 读者 会 以 不 同 的 方式 


使 用 这 些 需 求 。 图 4-2 描述 了 用 户 需 求 和 系 
统 需求 的 不 同 读者 类 型 。 用 户 需求 的 读者 通 


客户 方 管理 人 员 
系统 最 终 用 户 
客户 方 工程 师 
合同 管理 者 
系统 架构 师 












常 并 不 关心 系统 如 何 实现 ， 可 能 是 对 系统 的 AR 
详细 实现 不 感 兴趣 的 管理 人 员 。 系 统 需求 的 客户 方 工程 师 
他 们 关心 系统 将 如 何 支 持 业务 过 程 或 者 他 们 


本 身 参 与 系统 实现 。 图 4-2 用 户 需 求 和 系统 需求 所 面 对 的 不 同 读者 类 型 


图 4-2 中 所 示 的 不 同类 型 的 文档 读者 都 是 系统 利益 相关 者 的 例子 。 除 了 用 户 ， 还 有 很 多 
其 他 人 对 于 系统 存在 某 种 利益 。 系 统 利 益 相 关 者 包括 以 某 种 方式 受到 系统 影响 的 任何 人 以 及 
在 系统 中 存在 某 种 合法 利益 的 任何 人 。 从 系统 的 最 终 用 户 、 管 理 人 员 直 到 对 系统 的 可 接受 性 
进行 认证 的 外 部 监管 者 等 外 部 利益 相关 者 都 可 能 是 利益 相关 者 。 例 如 ，Mentcare 系统 包括 以 
下 利益 相关 者 。 

1. 信息 被 记录 在 系统 中 的 病人 以 及 他 们 的 家 属 ; 

2. 负责 对 病人 进行 评估 和 治疗 的 医生 :; 

3. 协调 医生 的 问 诊 并 对 某 些 治疗 进行 管理 和 指导 的 护士 ; 

4. 管理 病人 预约 的 医疗 接待 人 员 ; 

5. 负责 安装 和 维护 系统 的 IT 人 员 ; 

6. 必须 确保 系统 满足 当前 对 病人 治疗 的 伦理 指南 的 医疗 伦理 管理 人 员 ; 

7. 从 系统 中 获取 管理 信息 的 医疗 管理 人 员 ; 

8. 负责 系统 信息 的 维护 和 保存 并 确保 记录 保存 规程 得 到 适当 遵循 的 医疗 记录 人 员 。 

需求 工程 通常 被 认为 是 软件 工程 过 程 的 第 一 个 阶段 。 然 而 ， 对 系统 需求 的 一 些 理解 可 
能 必须 在 一 个 系统 的 采购 或 开发 决策 做 出 之 前 就 开发 出 来 。 这 一 早期 的 需求 工程 建立 了 一 个 
关于 系统 要 做 什么 以 及 系统 可 以 提供 的 好 处 的 高 层 视图 。 这 些 需求 接 下 来 可 以 在 可 行 性 研究 . 
(试图 从 技术 和 经 济 上 评价 该 系统 的 开发 是 否 可 行 ) 中 进行 考虑 。 可 行 性 研究 的 结果 帮助 管 
理 层 决定 是 否 继续 进行 该 系统 的 采购 或 开发 。 
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O ates 
可 行 性 研究 是 一 个 应 该 在 需求 工程 过 程 早 期 进行 的 简短 、 聚 焦 的 研究 。 这 个 研究 应 
该 回答 3 个 关键 问题 : (1) 系统 是 否 可 以 服务 于 组 织 的 总 体 目标 ? (2) 系统 是 否 可 以 在 进 
度 和 预算 范围 内 用 当前 的 技术 实现 ? (3) 系统 是 否 可 以 与 所 使 用 的 其 他 系统 相 集 成 ? 

如 果 对 于 这 些 问题 的 任何 一 个 回答 是 “和 否 "， 那 么 很 可 能 不 应 该 继续 这 个 项 目 。 


http://software-engineering-book.com/web/feasibility-study/ 













在 本 章 中 ,呈现 了 一 个 关于 需求 的 “传统 ”观点 而 不 是 敏捷 过 程 中 的 需求 ( 见 第 3 章 )。 
对 于 大 多 数 大 型 系统 ， 在 系统 实现 开始 之 前 仍然 存在 一 个 清晰 、 可 识别 的 需求 工程 阶段 。 该 
阶段 的 产 出 物 是 需求 文档 ， 它 可 以 成 为 系统 开发 合同 的 一 部 分 。 当 然 ， 随 后 需求 可 能 发 生变 
化 ,用户 需 求 会 被 展开 为 更 详细 的 系统 需求 。 有 时 ， 在 系统 开发 过 程 中 同时 抽取 需求 的 敏捷 
方法 也 可 以 用 于 细 化 和 精 化 用 户 需 求 。 


4.1 功能 性 需求 和 非 功能 性 需求 


软件 系统 需求 经 常 被 分 为 功能 性 需求 或 非 功能 性 需求 。 

1. 功能 性 需求 。 这 些 需 求 是 对 系统 应 该 提供 的 服务 、 系 统 应 该 如 何 响应 特定 的 输入 、 系 
统 在 特定 的 情形 中 应 该 如 何 表 现 等 的 陈述 。 在 某 些 情况 下 ， 功 能 性 需求 还 可 以 明确 地 陈述 系 
统 不 应 该 做 什么 。 

2. 非 功 能 性 需求 。 这 些 需求 是 对 系统 提供 的 服务 或 功能 的 约束 ， 包 括 时 间 性 约束 、 对 于 
开发 过 程 的 约束 、 标 准 规范 中 所 施加 的 约束 等 。 非 功能 性 需求 经 常 适用 于 系统 整体 而 不 是 单 
个 的 系统 特征 或 服务 。 

在 现实 中 ， 不 同类 型 的 需求 之 间 的 区 别 并 不 像 这 里 的 简单 定义 所 表达 的 那样 清楚 。 一 个 
关注 信息 安全 的 用 户 需 求 ， 例 如 ， 一 个 关于 授权 用 户 访问 权限 ， 可 能 看 起 来 像 是 一 个 非 功 能 
性 需求 。 然 而 ， 当 开发 得 更 加 详细 之 后 ， 这 个 需求 可 能 会 产生 其 他 一 些 明显 是 功能 性 需求 的 
需求 ， 例 如 ， 要 求 在 系统 中 包含 用 户 认 证 的 功能 。 

这 表明 需求 不 是 独立 的 ， 一 个 需求 经 常会 产生 其 他 需求 或 对 其 他 需求 产生 约束 。 因 此 ， 
系统 需求 并 不 只 是 刻画 所 需要 的 系统 服务 或 特征 ; 它们 也 要 刻画 确保 这 些 服务 / 特征 能 够 有 
效 交 付 的 必要 的 功能 。 


O saz 


领域 需求 是 从 系统 的 应 用 领域 而 不 是 从 系统 用 户 的 特定 需要 中 得 出 的 。 它 们 可 以 自 
身 就 是 新 的 功能 性 需求 、 对 于 已 有 的 功能 性 需求 的 约束 ,或 者 陈述 特定 的 计算 必须 如 何 
进行 0 

领域 需求 的 问题 是 软件 工程 师 可 能 不 理解 系统 运行 所 属 的 领域 的 特性 : 这 意味 着 这 
些 工程 师 可 能 不 知道 一 个 领域 需求 是 否 漏 掉 了 或 者 与 其 他 需求 相 冲 突 。 


http://software-engineering-book.com/web/domain-requirements/ 
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4.1.1 功能 性 需求 


系统 的 功能 性 需求 描述 系统 应 该 做 什么 。 这 些 需 求 取 决 于 所 开发 的 软件 的 类 型 、 软 件 
所 期 望 的 用 户 ， 以 及 该 组 织 在 书写 需求 时 通常 所 采取 的 方法 。 当 被 表达 为 用 户 需 求 时 ， 功 能 
性 需求 应 当 用 自然 语言 描述 ， 以 使 得 系统 用 户 和 管理 人 员 能 够 理解 它们 。 功 能 性 系统 需求 将 
用 户 需 求 展 开 ， 是 面向 系统 开发 者 描述 的 ， 应 该 详细 描述 系统 功能 ， 系 统 的 输入 、 输 出 和 


功能 性 系统 需求 可 以 是 关于 系统 应 该 做 什么 的 大 体 上 的 需求 ， 也 可 以 是 反映 局 部 的 工作 
方式 或 者 组 织 已 有 系统 的 非常 特定 的 需求 。 例 如 ， 下 面 是 Mentcare 系统 功能 性 需求 的 例子 ， 
用 于 维护 那些 接受 心理 健康 问题 治疗 的 病人 的 信息 。 

1. 用 户 应 当 能 够 搜索 到 所 有 诊所 的 预约 列表 ; 

2. 系统 应 当 每 天 为 每 个 诊所 生成 一 个 希望 预约 当天 看 诊 的 病人 列表 ; 

3. 应 当 通 过 8 位 数字 的 雇员 编号 对 使 用 该 系统 的 每 个 工作 人 员 进 行 唯一 标识 。 

这 些 用 户 需 求 定义 了 系统 中 应 当 包 含 的 一 些 特定 的 功能 。 这 些 需 求 表明 功能 性 需求 可 以 
在 不 同 的 抽象 层次 上 进行 摘 述 (对比 需求 1 和 3 )。 

功能 性 需求 ， 顾 名 思 义 ,传统 意义 上 关注 系统 应 该 做 什么 。 然 而 ， 如 果 一 个 组 织 确定 一 
个 已 有 的 成 品系 统 软件 产品 可 以 满足 其 需要 ， 那 么 开发 一 个 详细 的 功能 性 规格 说 明 的 意义 不 
大 。 在 这 种 情况 下 ， 关 注 点 应 该 集中 在 信息 需求 的 开发 ， 即 刻画 人 们 完成 自己 的 工作 所 需 的 
信息 。 信 息 需 求 刻 画 了 所 需 的 信息 以 及 信息 是 如 何 提供 和 组 织 的 。 因 此 ， 一 个 对 于 Mentcare 
系统 的 信息 需求 可 以 刻画 为 希望 预约 当天 看 诊 的 病人 列表 中 要 包含 哪些 信息 | 

需求 规格 说 明 中 的 不 精确 可 能 导致 客户 和 软件 开发 者 之 间 的 争执 。 对 于 系统 开发 者 而 
言 ,， 一 种 很 自然 的 情况 是 按照 简化 实现 的 方式 去 解读 一 个 模糊 的 需求 。 然 而 ， 这 经 常 不 是 客 
户 所 要 的 。 为 此 必须 建立 新 的 需求 并 对 系统 进行 修改 。 显 然 ， 这 会 拖延 系统 的 交付 并 增加 
成 本 。 

例如 ， 上 面 的 列表 中 的 第 一 条 Mentcare 系统 需求 说 用 户 应 当 能 够 搜索 所 有 诊所 的 预约 
列表 。 这 条 需求 背后 的 考虑 是 有 心理 健康 问题 的 病人 有 时 候 思维 混乱 ， 他 们 可 能 会 在 某 一 个 

PEA AIEA I 家 诊所 。 如 果 他 们 有 预约 ， 那 么 他 们 将 会 被 记录 为 已 预约 而 不 

是 哪个 诊所 。 

提出 搜索 需求 的 医护 工作 人 员 所 期 望 的 “搜索 ”可 能 是 给 定 一 个 病人 和 名字， 系统 在 所 
有 诊所 的 所 有 预约 中 查找 这 个 名 字 。 然 而 ， 这 一 点 在 需求 描述 中 并 不 明确 。 系 统 开发 者 可 能 
会 按照 最 容易 实现 的 方式 理解 这 条 需求 。 他 们 所 理解 的 搜索 功能 可 能 需要 用 户 选择 一 个 诊所 
然后 搜索 预约 了 这 个 诊所 的 病人 。 这 需要 更 多 的 用 户 输入 ， 因 此 需要 花 更 长 的 时 间 来 完成 
搜索 。 

理想 情况 下 ， 一 个 系统 的 功能 性 需求 规约 应 当 是 完整 、 一 致 的 。 完 整 性 意味 着 用 户 所 需 
要 的 所 有 的 服务 和 信息 都 应 该 被 定义 ; 一 致 性 意味 着 需求 不 应 当 自 相 矛 盾 。 

在 实践 中 ， 只 有 可 能 对 非常 小 的 软件 系统 实现 需求 的 一 致 性 和 完整 性 。 其 中 的 一 个 原因 
是 ， 在 给 大 型 、 复 杂 系 统 编写 规格 说 明 时 很 容易 犯错 误 和 遗漏 东西 。 另 一 个 原因 是 大 型 系统 
有 很 多 利益 相关 者 ， 他 们 的 背景 和 期 望 各 不 相同 。 这 些 利 益 相 关 者 很 有 可 能 会 有 不 同 的 并 且 
通常 是 不 一 致 的 需求 。 这 些 不 一 致 的 需求 在 最 初 编写 需求 规格 说 明 时 可 能 不 明显 ， 只 有 在 经 ， 
过 更 深入 的 分 析 后 或 者 在 系统 开发 过 程 中 才 会 被 发 现 。 
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4.1.2 非 功能 性 需求 


顾名思义 ， 非 功能 性 需求 是 指 与 系统 向 其 用 户 提供 的 特定 服务 不 直接 相关 的 需求 。 这 些 
非 功 能 性 需求 通常 会 刻画 或 约束 系统 的 整体 特性 。 它 们 可 能 会 与 系统 的 涌现 特性 (例如 可 靠 
性 、 响 应 时 间 、 存 储 使 用 ) 相关 。 或 者 ， 它 们 也 可 以 定义 对 系统 实现 的 约束 ， 例如， 输入 / 
输出 设备 的 能 力 ， 或 者 与 其 他 系统 的 接口 中 所 使 用 的 数据 表示 。 

非 功 能 性 需求 经 常 比 单个 的 功能 性 需求 更 关键 。 对 于 一 个 实际 上 不 符合 他 们 需要 的 系统 
功能 ， 系 统 用 户 通常 都 可 以 找到 变通 的 办 法 来 实现 目 己 的 目的 。 然 而 ,无 法 满足 一 个 非 功 能 
性 需求 可 能 意味 着 整个 系统 都 没 法 用 。 例 如 ， 如 果 一 个 飞机 系统 不 满足 可 靠 性 需求 ， 那 么 该 
系统 不 会 通过 安全 运行 认证 ; 如 果 一 个 戏 入 式 控 制 系统 无 法 满足 其 性 能 需求 ， 那 么 控制 功能 
将 无 法 正确 运行 。 

哪个 系统 构件 实现 了 特定 的 功能 性 需求 (例如 ， 可 能 会 有 格式 化 构件 来 实现 报表 需求 ) 
经 常 是 可 以 确定 的 。 但 是 ， 确 定 哪 些 系 统 构件 实现 了 非 功能 性 需求 通常 更 加 困难 。 这 些 非 功 
能 性 需求 的 实现 经 常 跨越 整个 系统 ， 这 主要 是 因为 以 下 两 点 原因 。 

1. 非 功 能 性 需求 可 能 会 影响 一 个 系统 的 整个 体系 结构 而 非 单 个 的 构件 。 例 如 ,为 了 确保 
一 个 藤 入 式 系 统 满足 性 能 需求 ， 体 系 结构 设计 可 能 要 考虑 通过 合理 的 系统 结构 来 尽 可 能 减少 
构件 间 的 通信 。 

2. 一 个 非 功能 性 需求 ， 例 如 信息 安全 需求 ， 可 能 会 产生 多 个 相互 联系 的 功能 性 需求 ， 这 
些 功 能 性 需求 定义 了 实现 该 非 功 能 性 需求 所 需要 的 新 的 系统 服务 。 此 外 ， 非 功能 性 需求 还 有 
可 能 产生 对 已 有 需求 构成 约束 的 新 需求 ， 例 如 ， 限 制 对 系统 中 信息 的 访问 。 


非 功能 性 需求 


[rane 
parema] 
a 


图 4-3 ” 非 功能 性 需求 的 类 型 


非 功 能 性 需求 的 产生 源 自 于 由 预算 约束 导致 的 用 户 要求 、 组 织 政策 、 与 其 他 软件 或 硬件 
系统 的 互 操作 要 求 ， 或 者 安全 性 监管 或 隐私 法 规 等 外 部 因素 。 图 4-3 对 非 功 能 性 需求 进行 了 
分 类 。 从 图 中 可 以 看 出 非 功能 性 需求 可 能 来 自 于 所 要 求 的 软件 特性 (产品 需求 )、 开 发 软件 
的 组 织 (组 织 需 求 )， 或 者 一 些 外 部 来 源 ， 具 体 如 下 。 
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1. 产品 需求 。 这 些 需 求 刻画 或 者 约束 了 软件 的 运行 时 行为 。 例 如 ， 效 率 需 求 可 以 要 求 系 
统 必 须 运 行 得 多 快 以 及 系统 需要 多 少 存储 ; 可 依赖 性 需求 可 以 设 定 可 接受 的 系统 失效 率 ; 此 
外 还 有 信息 安全 需求 以 及 可 用 性 需求 。 

2. 组 织 需求 。 这 些 需 求 是 源 目 于 客户 和 开发 方 组 织 的 政策 和 规程 的 一 类 宽泛 的 系统 需 
求 。 例 如 ， 运 行 需求 可 以 定义 系统 将 如 何 被 使 用 ; 开发 需求 可 以 要 求 所 使 用 的 编程 语言 、 开 
发 环境 或 者 过 程 标 准 ; 环境 需求 可 以 刻画 系统 的 运行 环境 。 

3. 外 部 需求 。 这 一 宽泛 的 类 型 覆盖 了 源 自 于 系统 及 其 开发 过 程 之 外 的 因素 的 所 有 需求 。 
可 以 包括 由 监管 者 (例如 ， 核 安全 管理 机 构 ) 设 定 的 系统 通过 使 用 许可 必须 要 做 的 事情 的 监 
管 需 求 ; 必须 遵守 以 确保 系统 运行 符合 法 律 的 法 律 需求 ; 确保 系统 可 以 被 用 户 以 及 公众 接受 
的 道德 需求 。 

图 4-4 描述 了 可 以 包含 在 Mentcare 系统 需求 规格 说 明 中 的 产品 、 组 织 和 外 部 需求 的 例 
子 。 其 中 的 产品 需求 是 一 个 定义 了 系统 必须 开放 的 时 间 以 及 所 人 允许 的 每 天 罕 机 时 间 的 可 用 性 

需求 。 上 其中 没有 提 到 任何 关于 Mentoare 系统 的 功能 的 内 容 ， 而 是 清楚 地 明确 了 一 一 外 系统 发 
计 者 必须 考虑 的 约束 。 


产品 需求 
Mentcare 系统 应 当 在 常规 工作 时 间 (周一 至 周 五 ，08:30-17:30 ) 中 对 所 有 诊所 都 是 可 用 的 。 任 何 
一 天 在 常规 工作 时 间 之 内 的 宕 机 时 间 不 应 该 超过 5 秒 。 


组 织 需求 


Mentcare 系统 用 户 应 当 使 用 他 们 的 健康 管理 机 构 身 份 卡 进 行 身份 认证 。 


外 部 需求 
系统 应 当 按 照 HStan-03-2006-priv 中 的 要 求实 现 病人 隐私 条 款 。 





图 4-4 Mentcare 系统 非 功能 性 需求 的 例子 


组 织 需求 刻画 了 用 户 如 何 回 系统 验证 自己 的 身份 。 运 营 该 系统 的 健康 管理 机 构 正 在 转 
向 让 所 有 的 软件 都 执 本 标准 的 身份 认证 规程 ， 以 替代 原 有 的 用 户 名 登录 的 方法 。 用 户 通过 在 
读 卡 器 上 刷 自 己 的 身份 卡 来 进行 身份 认证 。 外 部 需求 源 自 于 系统 符合 隐私 法 律 的 要 求 。 隐 私 
在 医疗 健康 系统 中 显然 是 一 个 非常 重要 的 问题 ， 该 需求 要 求 系统 开发 应 当 符 合 国家 的 隐私 
标准 。 

与 非 功 能 性 需求 相关 的 一 个 共性 问题 是 ， 利 益 相 关 者 将 这 些 需求 表述 为 泛 化 的 目标 ， 例 
如 ， 容 易 使 用 、 系 统 从 失效 中 恢复 的 能 力 、 快 速 用 户 响 应 等 。 目 标 表达 了 一 些 好 的 意图 , 但 
是 对 系统 开发 者 而 言 会 导致 一 些 问 题 ， 因 为 会 存在 模糊 的 理解 空间 ， 并 且 会 在 系统 交付 时 导 
致 争议 。 例 如 ， 下 面 这 个 系统 目标 是 管理 人 员 表 达 可 用 性 需求 的 常见 方式 。 

系统 应 当 对 医护 人 员 而 言 容 易 使 用 ， 并 且 应 当 能 通过 某 种 方式 进行 组 织 ， 以 使 得 用 户 错 
误 能 够 最 小 化 。 

这 个 例子 可 以 用 于 表明 目标 可 以 表达 为 一 个 “可 测试 的 ” 非 功能 性 需求 。 这 个 系统 目标 
无 法 客观 地 验证 ， 但 是 根据 下 面 的 描述 至 少 可 以 在 系统 测试 时 使 用 软件 插 装 来 对 用 户 所 犯 的 
错误 进行 计数 。 

医护 人 员 应 当 在 2 小 时 的 培训 后 有 能 力 使 用 所 有 的 系统 功能 。 接 受 培训 后 ， 有 经 验 的 用 
户 所 犯 的 错误 的 平均 数量 不 应 当 超 过 每 小 时 (系统 使 用 时 间 ) 2 个 。 

只 要 有 可 能 ， 你 都 应 该 定量 地 描述 非 功 能 性 需求 以 使 得 这 些 需 求 可 以 客观 地 测试 。 
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图 4-5 描述 了 可 以 用 来 刻画 非 功能 性 系统 属性 的 度量 指标 。 可 以 在 系统 测试 时 对 这 些 特性 进 
行 度量 以 检查 系统 是 否 满足 非 功能 性 需求 。 | 


每 秒 处 理 的 事务 


用 户 /事件 啊 应 时 间 
屏幕 刷新 时 间 












培训 时 间 
帮助 画面 的 数量 
平均 失效 时 间 
不 可 用 的 概率 








失效 后 重启 时 间 
导致 失效 的 事件 百分比 
失效 时 数据 损坏 的 概率 


依赖 于 目标 的 陈述 百分比 
图 4-5 刻画 非 功 能 性 需求 的 度量 


在 实践 中 ， 系 统 的 客户 经 常 感觉 很 难 将 自己 的 目标 表达 为 可 度量 的 需求 。 对 于 一 些 目 
标 ， 例 如 可 维护 性 ， 并 不 存在 可 用 的 简单 的 度量 指标 。 在 其 他 情况 下 ， 即 使 有 可 能 得 到 定量 
的 规格 说 明 ， 客 户 可 能 也 无 法 将 自己 的 需要 与 这 些 规格 说 明 联系 起 来 。 例 如 ， 他 们 根据 自己 
对 计算 机 系统 的 日 常 经 验 无 法 理解 一 些 定义 了 可 靠 性 的 数字 是 什么 意思 。 而 且 ， 客 观 地 验证 
可 度量 的 非 功 能 性 需求 的 代价 可 能 会 很 高 ， 为 系统 付款 的 客户 可 能 并 不 认为 这 些 代价 是 合 
理 的 。 

非 功能 性 需求 经 常 与 其 他 的 功能 性 或 非 功能 性 需求 冲突 或 交互 。 例 如 ， 图 4-4 中 的 身份 
认证 需求 要 求 连接 系统 的 每 一 台 计 算 机 都 要 安装 一 个 读 卡 器 。 然 而 ， 可 能 存在 另 一 条 需求 要 
求 支持 从 医生 或 护士 的 平板 电脑 或 智能 手机 上 远程 访问 系统 。 这 些 移动 设备 上 一 般 都 没有 读 
卡 器 ， 因 此 在 这 种 情况 下 可 能 要 支持 其 他 身份 认证 方法 。 

在 需求 文档 中 很 难 将 功能 性 和 非 功 能 性 需求 分 开 。 如 果 非 功能 性 需求 与 功能 性 需求 是 分 
开 描述 的 ,那么 它们 之 间 的 关系 可 能 很 难 理解 。 然 而 ， 理 想 情况 下 应 该 突出 那些 明显 与 涌现 
性 系统 属性 相关 的 需求 ， 例 如 ， 人 性 能 或 可 靠 性 。 可 以 将 它们 放 在 需求 文档 中 的 一 个 独立 的 章 
节 中 ,或 者 通过 某 种 方式 将 它们 与 其 他 系统 需求 相 区 分 。 

非 功能 性 需求 ， 如 可 靠 性 、 安 全 性 和 机 密 性 需求 ， 对 于 关键 性 系统 尤为 重要 。 这 些 可 依 
赖 性 需求 将 在 第 二 部 分 中 讨论 ， 其 中 将 介绍 刻画 可 靠 性 、 安 全 性 和 信息 安全 需求 的 方式 。 


4.2 ”需求 工程 过 程 


如 第 2 章 所 述 ， 需 求 工 程 包括 3 个 关键 活动 : 通过 与 利益 相关 者 交互 发 现 需 求 (抽取 和 
分 析 ) ; 将 这 些 需 求 转换 为 标准 格式 (规格 说 明 ); 检查 需求 是 否 实际 上 定义 了 客户 所 要 的 系 
统 (确认 )。 图 2-4 中 以 顺序 的 方式 描述 了 这 些 活动 。 然 而 ， 在 实践 中 需求 工程 是 一 个 返 代 
化 的 过 程 ， 其 中 的 活动 相互 交织 。 
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图 4-6 描述 了 这 种 相互 交织 。 这 些 活 动 被 组 织 为 围绕 者 一 个 螺旋 的 迭代 过 程 。 需 求 工程 
过 程 的 输出 是 一 个 系统 需求 文档 。 一 次 迭代 中 所 花费 的 时 间 和 工作 量 取 决 于 整个 过 程 的 阶 
段 、 所 开发 的 系统 类 型 以 及 可 用 的 预算 。 


需求 规格 说 明 











系统 需求 规格 
说 明和 建 模 


用 户 需求 
规格 说 明 


业务 需求 规格 说 明 


可 行 性 
研究 需求 确认 


系统 需求 文档 
图 4-6 需求 工程 过 程 的 螺旋 视图 


在 过 程 的 早期 阶段 ， 大 多 数 工作 量 花 在 理解 高 级 业务 和 非 功 能 性 需求 以 及 系统 的 用 户 需 求 上 。 
此 后 ， 在 螺旋 靠 外 的 环 上 更 多 的 工作 量 将 用 于 抽取 和 理解 非 功 能 性 需求 以 及 更 详细 的 系统 需求 。 

在 这 一 螺旋 模型 所 支持 的 各 种 开发 方法 中 ， 需求 可 以 被 开发 到 不 同 的 抽象 层次 。 该 螺 
旋 上 的 迭代 次 数 可 以 各 不 相同 ， 从 而 在 一 些 或 所 有 的 用 户 需 求 都 被 抽取 后 ， 可 以 从 螺旋 中 退 
出 。 敏 捷 开 发 可 以 代替 原型 来 使 用 ， 使 需求 和 系统 实现 可 以 一 起 开发 。 

事实 上 所 有 的 系统 中 的 需求 都 会 变化 。 系 统 中 所 涉及 的 人 会 得 出 关于 他 们 想 让 软件 做 什 
么 的 更 好 的 理解 ; 购买 系统 的 组 织 发 生变 化 ; 系统 的 人 硬件、 软件 和 组 织 环境 发 生 改 变 。 必 须 
对 变更 进行 管理 以 理解 它们 对 其 他 需求 的 影响 ， 以 及 实施 变更 的 成 本 和 对 系统 的 影响 。4.6 
节 将 介绍 需求 管理 过 程 。 


4.3 ”需求 抽取 


需求 抽取 过 程 的 目的 是 ， 理 解 利益 相关 者 所 做 的 事情 以 及 他 们 会 如 何 使 用 一 个 新 系统 
来 支持 他 们 的 工作 。 在 需求 抽取 过 程 中 ,软件 工程 师 与 利益 相关 者 一 起 工作 来 搞 清 楚 应 用 领 
域 、 工 作 活动 、 利 益 相关 者 想 要 的 服务 和 系统 特征 、 系 统 要 达到 的 性 能 、 硬 件 约束 等 。 

从 系统 利益 相关 者 那里 抽取 和 理解 需求 是 一 个 困难 的 过 程 ， 原 因 如 下 。 
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1. 利益 相关 者 经 常 不 知道 他 们 想 从 一 个 计算 机 系统 中 得 到 什么 ， 除 了 一 些 非常 泛泛 的 说 
法 ; 他 们 可 能 会 觉得 很 难 表 达 他 们 想 让 系统 做 的 事情 ; 他 们 可 能 会 提出 一 些 不 切实 际 的 要 求 ， 
因为 他 们 不 知道 哪些 可 行 哪些 不 可 行 。 

2. 一 个 系统 中 的 利益 相关 者 会 很 目 然 地 用 他 们 上 自己 的 话 来 表达 需求 ， 其 中 隐 含 着 一 些 关 
于 他 们 上 自己 工作 的 知识 。 需 求 工程 师 对 于 客户 的 业务 领域 没有 经 验 ， 可 能 无 法 理解 这 些 需 求 。 

3. 不同 的 利益 相关 者 有 各 种 不 同 的 需求 ， 他 们 会 以 不 同 的 方式 表达 他 们 的 需求 。 需 求 工 
程 师 必须 发 现 所 有 洪 在 的 需求 来 源 并 且 发 现 共性 和 冲突 。 

4. 政治 性 因素 可 能 影响 系统 的 需求 。 管 理 人 员 可 能 会 出 于 增加 自己 在 组 织 中 的 影响 力 的 
原因 而 要 求 某 些 特定 的 系统 需求 。 

5. 进行 需求 分 析 时 所 处 的 经 济 和 业务 环境 是 动态 的 ,不 可 避免 地 会 在 分 析 过 程 中 发 生变 
化 。 特 定 需求 的 重要 性 可 能 变化 。 新 的 需求 可 能 会 从 此 前 没有 咨询 过 的 新 利益 相关 者 那里 涌 
现 出 来 。 

一 个 抽取 和 分 析 过 程 的 过 程 模型 如 
图 4-7 所 示 。 每 个 组 织 都 可 以 在 这 个 通用 
模型 基础 上 ， 基 于 人 员 经 验 、 所 开发 的 系 
统 类 型 、 所 使 用 的 标准 等 本 地 因素 定义 自 
己 的 过 程 。 

其 中 的 过 程 活动 如 下 。 

1. 需求 发 现 和 理解 。 在 此 过 程 中 与 系 
统 利 益 相关 者 进行 交互 以 发 现 他 们 的 需求 。 
来 自 利 益 相 关 者 和 文档 的 领域 需求 也 在 此 
活动 中 发 现 。 

2. 需求 分 类 和 组 织 。 和 在 此 过 程 中 处 理 
所 收集 的 未 整理 需求 ， 将 相关 的 需求 进行 分 组 并 将 它们 组 织 为 内 聚 的 聚 类 。 

3. 需求 优先 级 排序 和 协商 。 当 涉及 多 个 方面 的 利益 相关 者 时 会 不 可 避免 地 发 生 需 求 冲 
突 。 该 活动 关注 对 需求 进行 优先 级 排序 ， 找 出 并 通过 协商 解决 需求 冲突 。 通 常 ， 利 益 相 关 者 
必须 一 起 协商 以 解决 分 歧 并 做 出 妥协 、 达 成 一 致 。 

4. 需求 文档 化 。 对 需求 进行 文档 化 并 提供 给 下 一 轮 螺旋 。 该 阶段 可 以 产生 一 个 软件 需求 
文档 的 早期 草稿 ， 或 者 直接 通过 白板 、Wiki 或 者 其 他 共享 空间 等 非 正 式 的 方式 保存 需求 。 

图 4-7 显示 需求 抽取 和 分 析 是 一 个 迭代 化 过 程 ， 和 包含 从 一 个 活动 到 其 他 活动 的 持续 反 
馈 。 过 程 循环 开始 于 需求 发 现 ， 结 束 于 需求 文档 化 。 分 析 人 员 对 需求 的 理解 经 过 每 次 循环 后 
都 会 得 到 改进 。 当 需求 文档 产生 后 ,该 循环 结束 。 


Oas 


视角 是 一 种 收集 和 组 织 需求 的 方式 ， 这 些 需 求 来 自 具有 某 些 共性 的 一 组 利益 相关 者 。 
因此 ， 每 个 视角 包括 一 组 系统 需求 。 视 角 可 能 来 自 于 最 终 用 户 、 管 理 人 员 或 其 他 人 ， 帮 助 
识别 可 以 提供 需求 信息 的 人 以 及 组 织 需 求 用 于 分 析 。 


http://www.software-engineering-book.com/web/viewpoints/ 









4. 需 求 文档 化 f 






3. 需 求 优 先 级 
排序 和 协商 





图 4-7 需求 抽取 和 分 析 过 程 
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为 了 简化 需求 的 分 析 ， 对 利益 相关 者 的 信息 进行 组 织 和 分 组 是 很 有 帮助 的 。 其 中 一 种 方 
式 是 ， 将 每 个 利益 相关 者 组 考虑 为 一 种 视角 ， 并 且 将 从 该 组 中 收集 的 所 有 需求 作为 该 视角 的 
内 容 。 还 可 以 用 视角 来 表示 领域 需求 以 及 来 自 其 他 系统 的 约束 。 此 外 ， 也 可 以 使 用 一 个 系统 
体系 结构 模型 来 识别 子 系统 ， 并 将 需求 与 每 个 子 系统 相关 联 。 

不 可 避免 地 ， 不 同 的 利益 相关 者 对 需求 的 重要 性 和 优先 级 有 不 同 的 观点 ， 有 时 候 这 些 观 
点 会 相互 冲突 。 如 果 一 些 利益 相关 者 感到 他 们 的 观点 没有 得 到 适当 的 考虑 ， 那 么 他 们 可 能 试 
图 去 故意 阻碍 需求 工程 过 程 。 因 此 ， 组 织 日 常 的 利益 相关 者 会 议 是 很 重要 的 。 利 益 相 关 者 应 
该 有 机 会 表达 目 己 的 关注 点 并 就 需求 折 中 取得 一 致意 见 。 

在 需求 文档 化 阶段 ， 使 用 简单 的 语言 和 图 形 来 描述 需求 是 很 重要 的 。 这 使 得 利益 相关 者 
可 以 理解 这 些 需 求 并 发 表 评 论 。 为 了 让 信息 共享 更 容易 ， 最 好 使 用 所 有 感 兴趣 的 利益 相关 者 
都 能 访问 的 共享 文档 (例如 使 用 Google Docs 或 者 Office 365 ) 或 者 Wiki。 


4.3.1 需求 抽取 技术 


需求 抽取 包含 与 不 同类 型 的 利益 相关 者 交谈 以 发 现 关 于 待 开 发 系统 的 信息 。 可 以 补充 关 
于 现 有 系统 及 其 使 用 的 知识 ， 以 及 来 自 不 同 种 类 文档 的 信息 。 你 需要 花 时 间 理 解 人 们 如 何 工 
作 、 他 们 生产 什么 、 他 们 如 何 使 用 其 他 系统 ， 以 及 他 们 要 如 何 变化 以 适应 新 系统 。 

需求 抽取 有 两 个 基本 的 方法 。 

1. 访谈 ， 开 发 者 和 其 他 人 谈论 他 们 做 的 事情 。 

2. 观察 或 人 种 学 调查 ， 观 察 人 们 做 自己 的 工作 来 了 解 他 们 使 用 哪些 制品 、 他 们 如 何 使 用 
这 些 制品 等 。 

应 当 将 访谈 和 观察 相 结 合 来 收集 信息 ， 并 且 从 中 得 出 需求 ， 这 些 信息 接 下 来 将 成 为 进 一 
步 讨论 的 基础 。 

访谈 

大 多 数 需求 工程 过 程 都 包括 与 系统 利益 相关 者 的 正式 或 非 正式 的 访谈 。 在 这 些 访谈 中 ， 
需求 工程 团队 针对 利益 相关 者 当前 使 用 的 系统 以 及 将 开发 的 系统 提出 问题 。 从 这 些 问 题 的 回 
答 中 得 出 需求 。 访 谈 可 以 有 两 种 类 型 。 

1. 封闭 式 访 谈 ， 利 益 相关 者 回答 一 组 预定 义 的 问题 。 

2. 开放 式 访 谈 ， 没 有 预定 义 的 日 程 ， 需 求 工程 团队 与 系统 利益 相关 者 探索 一 系列 问题 ， 
并 得 到 对 他 们 需要 的 更 好 的 理解 。 

在 实践 中 ， 与 利益 相关 者 的 访谈 通常 都 会 结合 这 两 种 方式 。 最 初 ， 可 能 会 针对 一 些 特定 
的 问题 寻求 答案 ， 但 这 些 问 题 通常 会 引发 其 他 一 些 问 题 ， 这 些 问 题 会 以 更 加 非 正式 的 方式 进 
行 探 讨 。 完 全 开放 式 的 讨论 通常 效果 都 不 好 。 常 常 要 通过 问 一 些 问 题 来 开始 整个 过 程 ， 并 且 
让 访谈 聚焦 于 待 开 发 的 系统 。 

访谈 对 于 获得 一 个 总 体 理 解 是 有 好 处 的 ， 包括 : 利益 相关 者 做 什么 ， 他 们 会 如 何 与 新 系 
统 交 互 ， 他 们 使 用 当前 系统 时 遇 到 的 困难 。 人 们 喜欢 谈论 他 们 自己 的 工作 ， 因 此 通常 都 会 很 
高 兴 参 加 访谈 。 然 而 ， 除 非 有 一 个 系统 原型 来 进行 演示 ， 和 否则 不 应 该 期 望 利益 相 关 者 说 出 大 
多 特定 的 和 细节 的 需求 。 每 个 人 都 觉得 很 难 形象 化 地 描述 系统 该 是 什么 样 的 。 需 求 工 程 团 队 
要 分 析 所 收集 的 信息 并 从 中 产生 需求 。 

通过 访谈 抽取 领域 知识 可 能 很 难 ， 这 是 由 于 以 下 原因 。 

1. 所 有 的 应 用 专家 都 使 用 自己 工作 领域 中 的 专业 术语 。 对 于 他 们 而 言 ， 在 不 使 用 这 些 术 
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语 的 情况 下 讨论 领域 需求 是 不 可 能 的 。 他 们 通常 会 以 一 种 精确 上 且 微 妙 的 方式 来 表达 ， 这 可 能 
会 使 需求 工程 师 产 生 误 解 。 

2. 一 些 领域 知识 对 于 利益 相关 者 而 言 非常 熟悉 ， 以 至 于 他 们 要 么 觉得 很 难 解 释 要 么 认为 
过 于 基础 、 不 值 一 提 。 例 如， 对 一 个 图 书馆 管理 员 来 说 ， 所 有 采购 的 图 书 在 加 入 图 书馆 之 前 
要 进行 分 类 是 不 需要 提 及 的 。 然 而 ， 这 对 于 访谈 人 却 不 是 那么 显而易见 ， 因 此 在 需求 中 就 没 
有 考虑 。 

访谈 不 是 一 个 有 效 的 抽取 组 织 需 求 及 约束 的 技术 ， 因 为 组 织 中 不 同 的 人 之 间 存 在 着 微妙 
的 权力 关系 。 公 开 的 组 织 结 构 很 少 与 组 织 中 实际 的 决策 权力 结构 相 匹 配 ,但 是 受 访 人 可 能 不 
愿意 问 一 个 陌生 人 揭露 实际 结构 而 不 是 理论 上 的 结构 。 总 而 言 之 ， 大 部 分 人 通常 不 愿意 谈论 
政治 和 组 织 性 话题 ， 这 些 可 能 会 影响 需求 。 

为 了 成 为 一 个 里 有 成 效 的 访谈 人 ， 应 当 记 住 以 下 两 点 。 

1. 应 该 虚心 倾听 ， 避 免 预 设 一 些 关 于 需求 的 想法 ， 并 且 愿 意 倾 听 利益 相关 者 的 意见 。 如 
果 利 益 相 关 者 提出 一 些 意 想 之 外 的 需求 ， 那 么 你 应 该 愿意 改变 自己 关于 系统 的 想法 。 

2. 应 该 通过 使 用 跳板 性 的 问题 、 需 求 建议 或 者 一 起 来 讨论 一 个 原型 系统 等 方法 来 提示 受 
访 人 ， 使 得 讨论 可 以 进行 。 对 别人 说 “告诉 我 你 想 要 什么 ”很 难得 到 有 用 的 信息 。 他 们 会 觉 
得 在 一 个 定义 好 的 上 下 文 语 境 中 谈论 问题 比 在 一 个 泛 化 的 上 下 文 语 境 中 要 容易 得 多 ， 

来 目 访 谈 的 信息 应 该 与 来 自 描述 业务 过 程 或 已 有 系统 的 文档 、 用 户 观 察 、 开 发 者 经 验 等 
关于 系统 的 其 他 信息 一 起 使 用 。 有 时 候 ， 除 了 系统 文档 中 的 信息 ， 访 谈 信 息 可 能 是 关于 系统 
需求 的 唯一 的 信息 来 源 。 然 而 ， 访 谈 本 身 有 可 能 会 丢失 一 些 基 本 的 信息 ， 因 此 访谈 应 当 与 其 
他 需求 抽取 技术 一 起 使 用 。 

人 种 学 调查 

软件 系统 并 不 是 独立 存在 的 ， 而 是 在 一 个 社会 化 和 组 织 环 境 中 使 用 的 ， 因 此 ， 软 件 系统 
需求 可 以 由 该 环境 产生 或 受 其 约束 。 很 多 软件 系统 交付 后 从 来 未 被 使 用 的 一 个 原因 是 ， 收 集 
的 需求 没有 适当 考虑 社会 和 组 织 因素 如 何 影响 系统 的 实际 运行 。 因 此 ， 在 需求 工程 过 程 中 很 
重要 的 一 点 是 ， 要 尽量 去 理解 影响 系统 使 用 的 社会 和 组 织 问题 。 

人 种 学 调查 是 一 种 观察 技术 ， 可 以 用 来 理解 运行 过 程 ， 并且 帮 助 得 出 支持 这 些 过 程 的 软 
件 需求 。 一 个 分 析 人 员 让 自己 深入 系统 未 来 使 用 的 工作 环境 ， 观 察 日 常 工作 ， 记 录 参 与 者 所 
进行 的 各 种 实际 任务 。 人 种 学 调查 的 价值 是 ， 可 以 帮助 发 现 一 些 反映 人 们 实际 工作 方式 的 隐 
含 系统 需求 ， 这 些 需 求 在 组 织 定 义 的 正式 的 业务 过 程 中 并 不 存在 。 

人 们 经 营 感 觉 很 难 清 晰 地 描述 关于 自己 工作 的 详细 信息 ， 因 为 他 们 对 于 这 些 工 作 已 经 习 
以 为 靖 。 他 们 理解 自己 的 工作 ， 但 可 能 不 理解 他 们 的 工作 与 组 织 中 其 他 工作 的 关系 。 一 些 影 
啊 工 作 的 社会 和 组 织 因 素 对 于 个 人 而 言 并 不 明显 ， 这 些 因素 只 有 在 一 个 客观 的 观察 者 注意 到 
之 后 才 会 变 得 比较 清楚 。 例 如 ， 一 个 工作 组 具有 良好 的 自 组 织 性 ， 因 此 各 个 成 员 了 解 相 互 的 
工作 ， 在 有 大 缺席 的 情况 下 可 以 相互 代替 。 这 一 点 可 能 不 会 在 面谈 中 提 及 ， 因 为 这 些 成 员 可 
能 没有 将 这 一 点 作为 他 们 工作 的 一 个 重要 部 分 。 

Suchman ( Suchman 1983 ) 是 使 用 人 种 学 调查 研究 办 公 室 工作 方面 的 先驱 。 她 发 现实 际 
的 工作 实践 远 远 比 办 公 自 动 化 系统 所 假设 的 简单 模型 更 丰富 、 更 复杂 也 更 动态 化 。 假 设 的 
工作 方式 与 实际 工作 方式 的 差异 是 这 些 办 公 系 统 对 于 生产 力 没有 产生 显著 影响 的 最 重要 的 原 
Alo Crabtree ( Crabtree 2003 ) 对 这 之 后 的 很 多 研究 进行 了 探讨 ， 并 大 致 介绍 了 人 种 学 调查 
在 系统 设计 中 的 应 用 。 本 书 作 者 曾 研 究 过 在 软件 工程 过 程 中 使 用 一 些 有 趣 的 人 种 学 调查 方 


法 一 一 将 人 种 学 调查 与 需求 工程 方法 联系 起 来 Viller and Sommerville 2000 )， 并 描述 协作 
式 系统 中 的 交互 模式 (Martin and Sommerville 2004 ) 。 

人 种 学 调查 对 于 发 现 以 下 两 种 类 型 的 需求 特别 有 效 。 

1. 从 人 们 的 实际 工作 方式 (而 不 是 业务 过 程 定义 中 所 说 的 工作 方式 ) 中 得 出 的 需求 。 在 
实践 中 ， 人 们 很 少 遵循 正式 的 过 程 。 例 如 ， 空 中 交通 控制 人 员 可 能 会 关闭 一 个 侦 测 飞 行路 线 
是 否 存 在 交叉 的 飞机 碰撞 警报 系统 ， 即 使 常规 的 控制 规程 中 要 求 使 用 该 警报 系统 。 原 因 也 许 
是 这 个 碰撞 警报 系统 很 敏感 ， 在 飞机 相距 很 远 的 时 候 都 会 发 出 很 响 的 警报 。 控 制 人 员 可 能 会 
觉得 这 个 警报 会 邻 人 分 心 ， 因 此 宁愿 使 用 其 他 策略 来 确保 飞机 不 会 出 现在 可 能 发 生 碰 撞 的 路 
ZL. 

2. 从 与 他 人 的 合作 以 及 对 其 他 人 的 活动 的 了 解 中 得 出 的 需求 。 例 如 ， 空 中 交通 控制 人 员 
(Air Traffic Controller, ATC) 可 能 会 通过 对 其 他 控制 人 员工 作 的 了 解 来 预测 将 会 进入 他 们 的 
控制 区 域 的 飞机 的 数量 。 接 下 来 他 们 会 根据 所 预测 的 负载 量 来 修改 他 们 的 控制 策略 。 因 此 ， 
一 个 自动 化 的 ATC 系统 应 当 人 允许 一 个 控制 区 域 中 的 控制 人 员 对 于 相 邻 控制 区 域 中 的 工作 有 
一 些 了 解 。 

人 种 学 调查 可 以 与 系统 原型 的 开发 结合 起 来 使 用 ( 见 图 4-8 )。 人 种 学 调查 为 原型 的 开 
发 提供 信息 ， 从 而 使 其 所 需要 的 原型 精 化 循环 更 少 。 此 外 ， 原 型 化 通过 识别 接 下 来 可 以 与 调 
查 人 员 探 讨 的 问题 和 疑问 来 使 得 人 种 学 调查 更 加 聚焦 。 之 后 ;他 应 当 在 系统 研究 的 下 一 个 阶 
段 中 寻求 对 于 这 些 问题 的 答案 (Sommerville et al. 1993 )。 
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图 4-8 ”用 于 需求 分 析 的 人 种 学 调查 与 原型 化 


人 种 学 调查 有 助 于 理解 现 有 系统 ， 但 这 种 理解 并 不 总 是 有 助 于 创新 。 创 新 与 新 产品 开发 
尤为 相关 。 有 评论 提 到 诺基亚 公司 当时 使 用 人 种 学 调查 来 发 现 人 们 使 用 手机 的 方式 ， 并 基于 
此 开发 新 的 手机 模型 ， 然 而 男 一 方面 ,苹果 公司 则 忽略 当前 的 使 用 情况 而 是 革命 性 地 通过 引 
A iPhone 颠覆 了 手机 产业 。 

人 种 学 调查 可 以 揭示 经 常 被 其 他 需求 抽取 技术 忽略 的 关键 过 程 细节 。 然 而 ， 由 于 关注 最 
终 用 户 ， 该 方法 对 于 发 现 更 广阔 的 组 织 或 领域 需求 或 提出 创新 就 没 那么 有 效 了 。 因 此 ， 人 种 
学 调查 应 该 被 用 作 一 系列 需求 抽取 技术 中 的 一 种 。 | 


43.2 故事 和 场景 


人 们 发 现 ， 与 抽象 描述 相 比 ， 与 现实 生活 中 的 例子 相 联系 要 容易 得 多 。 他 们 不 善于 告诉 
你 系统 需求 。 但 是 ， 他 们 也 许可 以 描述 他 们 如 何 处 理 特 定 的 情形 ， 或 者 想象 他 们 可 能 以 一 种 
新 的 工作 方式 做 事情 。 故 事 和 场景 是 捕捉 此 类 信息 的 手段 。 因 此 ， 可 以 在 与 利益 相关 狸 组 访 
谈 ， 或 者 与 其 他 利益 相关 者 讨论 系统 以 及 开发 更 特定 的 系统 需求 时 ， 使 用 故事 和 场景 。 

从 本 质 上 看 ， 故 事 和 场景 是 一 样 的 东西 ， 它 们 描述 了 系统 可 以 如 何 用 于 一 些 特定 的 任 
务 。 故 事 和 场景 描述 了 人 们 做 什么 ,他 们 使 用 和 产生 什么 信息 ， 以 及 在 此 过 程 中 他 们 可 以 使 
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用 的 系统 。 故 事 和 场景 的 区 别 在 于 描述 的 组 织 方 式 以 及 所 呈现 的 抽象 层次 。 故 事 锌 描述 为 叙 
述 性 的 文本 ， 并 且 呈 现 一 种 关于 系统 使 用 的 高 层 描述 ; 场景 通常 按照 所 收集 的 特定 信息 ( 例 
如 ， 输 入 和 输出 ) 进行 组 织 。 故 事 对 于 设 定 系统 的 “概貌 ”很 有 和 效 ; 故事 的 一 些 部 分 可 以 接 
下 来 被 细 化 并 表示 为 场景 。 

图 4-9 是 一 个 故事 的 例子 。 这 个 例子 可 以 用 于 理解 第 1 章 中 介绍 的 iLearn 数字 化 学 习 环 
境 系统 需求 。 这 个 故事 描述 了 一 所 小 学 中 的 情形 ， 其 中 教师 使 用 该 环境 来 支持 学 生 关 于 渔业 
的 项 目 。 可 以 看 到 这 是 一 个 高 层 的 描述 。 其 目的 是 便于 讨论 iLearn 系统 可 以 如 何 使 用 ， 以 
及 作为 抽取 该 系统 需求 的 一 个 起 始点 。 


教室 中 的 图 片 共享 


Jack 是 苏格兰 北部 乡村 Ullapool 的 一 位 小 学 教师 。 他 布置 了 一 个 关注 该 地 区 渔业 的 课程 项 目 ; 
了 解 渔业 的 历史 、 发 展 和 经 济 影响 。 作 为 该 项 目的 一 部 分 ， 学 生 们 要 收集 并 分 享 来 自 亲 属 的 回忆 
录 ， 使 用 报纸 档案 ， 收 集 与 该 地 区 渔业 和 渔业 团体 相关 的 旧 照 片 。 小 学 生 使 用 iLearn 系统 的 wiki 
将 渔业 故事 收集 到 一 起 ， 使 用 SCRAN (一 个 历史 资源 站 点 ) 来 访问 报纸 档案 和 照片 。 然 而 ，Jack 
还 需要 一 个 照片 分 享 站 点 ， 因 为 他 想 让 小 学 生 们 相互 交换 照片 并 进行 评论 ， 并 且 可 以 上 传 家 里 旧 


照片 的 扫描 件 。 

Jack 向 一 个 小 学 教师 的 群 组 (他 是 成 员 之 一 ) 发 送 了 一 封 电子 邮件 ， 询 问 谁 能 推荐 一 个 合 
的 系统 。 两 位 教师 答复 了 ， 他 们 都 建议 使 用 KidsTakePics 个 允许 教师 检查 并 监管 内 容 的 照 
片 分 享 网 站 。 由 于 KidsTakePics 没有 和 iLearn 系统 的 身份 认证 服务 集成 ， 他 开设 了 一 个 教师 和 一 
个 班级 账号 。 他 使 用 iLearn 的 设置 服务 来 将 KidsTakePics 添加 到 小 学 生 在 班级 中 可 以 看 到 的 服务 
中 ， 这 样 当 学 生 登 录 时 就 可 以 立即 使 用 系统 来 上 传 来 自 他 们 的 移动 设备 和 班级 计算 机 中 的 照片 。 





图 4-9 iLearn 系统 的 一 个 用 户 故 事 


故事 的 好 处 是 每 个 人 都 可 以 很 容易 建立 联系 。 我 们 发 现 与 现实 中 的 访谈 相 比 ， 这 一 方法 
对 于 从 范围 更 广 的 社 群 中 获取 信息 尤其 有 用 。 我 们 把 故事 放 到 Wiki k, HAER ASHK 
教师 和 学 生 在 上 面 做 评论 。 

这 些 高 层 的 故事 没有 进入 到 系统 的 细节 ， 但 是 它们 可 以 被 进一步 细 化 为 更 加 特定 的 场 
景 。 场 景 是 对 示例 性 的 用 户 交 互 会 话 的 描述 。 我 认为 最 好 以 一 种 结构 化 的 方式 而 不 是 叙述 性 
文本 的 方式 呈现 场景 。 极 限 编程 等 敏捷 方法 中 使 用 的 用 户 故 事实 际 上 是 描述 性 的 场景 ， 而 不 
是 帮助 抽取 需求 的 一 般 性 的 故事 。 

一 个 场景 开头 是 对 交互 的 概览 。 在 抽取 过 程 中 增加 细节 以 创建 一 个 完整 的 交互 描述 。 一 
个 场景 通常 可 以 包括 : 

L 场景 开始 时 对 系统 及 用 户 所 期 望 的 条 件 的 描述 ; 

2. 对 场景 中 向 规 的 事件 流 的 描述 ; 

3. 关于 哪些 可 能 出 错 以 及 如 何 解决 问题 的 描述 ; 

4. 关于 可 能 同时 进行 的 其 他 活动 的 信息 ; 

5. 场景 结束 时 对 系统 状态 的 描述 。 

作为 一 个 场景 的 例子 ， 图 4-10 描述 了 当 一 个 学 生 上 传 照片 到 KidsTakePics 系统 时 (如 
图 4-9 中 所 解释 的 ) 发 生 的 事情 。 该 系统 与 其 他 系统 的 关键 差别 是 ， 教 师 监 管 所 上 传 的 照片 
以 检查 照片 是 否 适 合 分 享 。 

可 以 看 到 ， 这 个 场景 描述 比 图 4-9 中 的 故事 要 详细 得 多 ， 因 此 可 以 用 于 提出 iLearn 系统 
的 需求 。 像 故事 一 样 ， 可 以 利用 场景 与 可 能 有 不 同 工 作 方式 的 利益 相关 者 进行 讨论 。 
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上 传 照 片 到 KidsTakePics 


最 初 的 假设 : 一 个 用 户 或 一 组 用 户 有 一 个 或 多 个 数字 照片 要 上 传 到 图 片 共 享 网 站 。 这 些 照片 保存 
在 平板 电脑 或 笔记 本 电脑 上 。 用 户 已 经 成 功 登 录 到 KidsTakePics E, 

常规 : 用 户 选择 上 传 照 片 ， 系 统 提示 用 户 在 电脑 上 选择 要 上 传 的 照片 ， 并 且 选 择 保 存 照 片 所属 的 
项 目 名 称 。 还 应 当 给 用 户 一 个 选项 ， 来 输入 应 当 与 每 个 上 传 的 照片 相关 联 的 关键 字 。 所 上 传 的 照 
片 通过 将 用 户 名 与 本 地 电脑 上 的 照片 文件 名 相 拼 接 来 命名 。 


上 传 完成 后 ， 系 统 自动 发 送 一 封 电 子 邮 件 到 项 目 监管 者 那里 ， 请 他 们 检查 新 上 传 的 内 容 ， 并 回 用 
户 生 成 一 条 屏幕 消息 告知 该 检查 已 完成 。 


可 能 的 出 现 的 问题 : 所 选择 的 项 目 没有 关联 的 监管 者 。 自 动 生成 一 封 电子 邮件 给 学 校 管 理 员 ， 请 
他 们 任命 一 个 项 目 监 管 者 。 应 当 通知 用 户 他 们 的 照片 会 延迟 公开 访问 。 

具有 相同 名 字 的 照片 已 经 被 同一 个 用 户 上 传 。 应 当 询 问 用 户 是 否 希 望 ; 重新 上 传 同名 的 照片 ， 重 
命名 照片 ， 或 者 取消 上 传 。 如 果 用 户 选择 重新 上 传 照片 ， 原 来 的 照片 会 被 覆盖 。 如 果 他 们 选择 重 
命名 照片 ， 系 统 通过 向 已 有 的 文件 名 增加 一 个 数字 来 自动 生成 一 个 新 名 字 。 

其 他 活动 : 监管 者 可 以 登录 到 系统 中 ， 并 可 以 在 照片 上 传 时 批准 其 共享 。 

完成 时 的 系统 状态 : 用 户 登 录 成 功 。 所 选择 的 照片 已 经 上 传 并 且 状 态 是 “等 竺 批准” 。 照 片 对 于 监 
管 者 和 上 传 照片 的 用 户 可 见 。 





图 4-10 在 KidsTakePics 中 上 传 照片 的 场景 


4.4 ”需求 规格 说 明 


需求 规格 说 明 是 在 需求 文档 中 撰写 用 户 和 系统 需求 的 过 程 。 理 想 情况 下 ， 用 户 和 系统 
需求 应 当 是 清晰 、 无 二 义 、 易 于 理解 、 完 整 和 一 致 的 。 在 实践 中 ， 这 几乎 是 不 可 能 完全 实 
现 的 。 利 益 相 关 者 会 以 不 同 的 方式 解读 需求 ， 而 需求 中 经 常会 存在 固有 的 冲突 和 不 一 致 。 

用 户 需求 几乎 总 是 用 自然 语言 书写 ， 然 后 辅 以 需求 文档 中 适当 的 图 形 和 表格 。 系 统 需 求 
也 可 以 用 目 然 语言 书写 ， 但 是 也 可 以 使 用 基于 表格 、 图 形 或 数学 系统 模型 的 表示 法 。 图 4-11 
归纳 了 书写 系统 需求 的 几 种 可 能 的 表示 法 。 


自然 语言 句子 使 用 数字 编号 的 自然 语言 句子 来 书写 需求 。 每 个 句子 应 当 表达 一 条 需求 
pagna | 基于 一 个 标准 的 表格 或 模板 用 自然 语言 书写 需求 。 每 个 字段 提供 关于 需求 的 
结构 化 自然 语言 | are 


图 形 化 表示 法 定义 系统 的 功能 性 需求 ， 辅 以 文本 注释 的 图 形 化 模型 。 统 一 建 模 语言 (unified 
modeling language, UML) 用 况 和 顺序 图 被 广泛 使 用 


这 些 表 示 法 基于 有 限 状态 机 或 集合 等 数学 概念 。 虽 然 这 些 无 二 义 的 规格 说 明 
可 以 减少 需求 文档 中 的 二 义 性 ， 但 是 大 多 数 客 户 不 理解 形式 化 的 规格 说 明 - 他 
们 无 法 检查 其 是 否 表达 了 他 们 的 想法 ， 因 此 不 愿意 将 其 作为 系统 合约 接受 。 该 
方法 将 在 第 10 章 中 进行 讨论 ， 这 一 章 介绍 系统 可 依赖 性 


数学 规格 说 明 





图 4-11 书写 系统 需求 的 表示 法 


系统 的 用 户 需求 应 当 描述 功能 性 需求 和 非 功能 性 需求 ， 以 使 不 具有 详细 的 技术 知识 的 系统 
用 户 也 可 以 理解 。 理 想 情况 下 ， 这 些 需求 应 当 只 刻画 系统 的 外 部 行为 。 需 求 文档 不 应 该 包含 系统 
体系 结构 或 设计 的 细节 。 因 此 ， 如 果 你 在 书写 用 户 需求 ， 你 不 应 该 使 用 软件 术语 、 结 构 化 表示 
法 或 者 形式 化 表示 法 。 你 应 该 用 自然 语言 书写 用 户 需 求 ， 带 有 简单 的 表格 、 表 单 和 直观 的 图 形 。 
系统 需求 是 用 户 需 求 的 详 述 版 本 ， 软 件 工程 师 将 其 用 作 系统 设计 的 起 始点 。 系 统 需求 增 
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加 了 细节 并 解释 了 系统 应 当 如 何 提供 用 户 需 求 。 它 们 可 以 作为 系统 实现 的 合约 的 一 部 分 ， 因 
此 ， 系 统 需求 应 当 是 对 整个 系统 的 完整 以 及 详细 的 规格 说 明 。 

理想 情况 下 ， 系 统 需 求 应 当 只 描述 系统 的 外 部 行为 及 其 运行 约束 。 它 们 不 应 当 关注 系统 
如 何 设 计 和 实现 。 然 而 ， 在 完整 刻画 一 个 复杂 软件 系统 所 需 的 详细 程度 上 ， 排 除 所 有 的 设计 
信息 是 不 现实 的 也 不 合理 。 理 由 如 下 。 

1. 你 可 能 要 设计 一 个 初始 的 系统 体系 结构 来 帮助 组 织 需求 规格 说 明 。 系 统 需求 按照 构成 
系统 的 不 同 子 系统 进行 组 织 。 我 们 在 定义 iLearn 系统 需求 时 做 了 这 件 事 ， 其 中 所 提出 的 体 
系 结构 如 图 1-8 所 示 。 

2. 在 大 多 数 情况 下 ， 系 统 必 须 与 现 有 的 系统 互 操 作 ， 这 对 设计 构成 了 约束 并 对 新 系统 施 
加 了 额外 的 需求 。 

3. 可 能 有 必要 使 用 特定 的 体系 结构 来 满足 非 功能 性 需求 ， 例 如 通过 N 版 本 编程 来 实现 
可 靠 性 (参见 第 11 章 )。 需 要 对 系统 的 安全 性 进行 认证 的 外 部 监管 者 可 能 会 要 求 使 用 一 个 已 
认证 的 体系 结构 设计 。 


4.4.1 自然 语言 规格 说 明 


A 20 世纪 50 年代 开 始 自然 语言 就 被 用 于 书写 软件 需求 。 自 然 语言 表达 能 力 强 、 直 观 、 
具有 普 适 性 。 但 自然 语言 也 具有 潜在 的 模糊 性 和 二 义 性 ， 对 于 自然 语言 的 解读 取决 于 读者 的 
背景 。 其 结果 是 ， 人 们 已 经 提出 了 很 多 其 他 书写 需求 的 方式 。 然 而 ， 这 些 提议 没有 哪 一 个 得 
到 了 广泛 采用 ， 自 然 语 言 将 继续 作为 最 广泛 使 用 的 系统 和 软件 需求 规格 说 明 手 段 。 

为 了 在 书写 自然 语言 需求 时 尽量 减少 误解 ， 推 荐 你 遵循 以 下 这 些 简单 的 指南 。 

1. 使 用 一 种 标准 格式 并 确保 所 有 的 需求 定义 都 遵循 该 格式 。 标 准 化 格式 使 得 遗漏 不 太 会 发 
生 ， 同 时 需求 可 以 更 容易 检查 。 建 议 在 可 能 的 情况 下 ， 应 当 尽 量 用 一 两 句 话 的 自然 语言 书写 需求 。 

2. 以 一 致 的 方式 使 用 语言 ， 使 得 必须 满足 的 以 及 期 望 满足 的 需求 能 够 区 分 开 。 必 须 满足 
的 需求 是 系统 必须 支持 的 需求 ， 通 常 使 用 “必须 ”( shall) 来 表达 。 期 望 满足 的 需求 不 是 必 不 
可 少 的 ， 通 稼 使 用 “应 该 " (should) 来 表达 。 

3. 使 用 强调 性 的 文本 ( 粗 体 、 和 斜体 或 颜色 ) 来 突出 需求 中 的 关键 部 分 。 

4. 不 要 假设 读者 理解 技术 性 的 软件 工程 语言 。“ 体 系 结构 ”和 “模块 ”这 样 的 词语 很 容 
易 被 误解 。 只 要 有 可 能 ， 尽 量 避 人 免 使 用 专业 术语 、 缩 写 和 首 字母 缩 略 词 。 

5. 只 要 有 可 能 ， 都 应 当 尽 量 将 每 个 用 户 需 求 与 其 原理 关联 起 来 。 原 理应 当 解 释 为 什么 这 
项 需求 被 包含 进来 以 及 谁 提 出 了 该 需求 (需求 来 源 )， 这 样 你 就 可 以 知道 在 需求 要 发 生变 化 时 
咨询 谁 。 需 求 原 理 在 需求 发 生变 化 时 尤其 有 用 ， 因 为 它 可 以 帮助 判断 哪些 变化 是 不 适宜 的 。 

图 4-12 摘 述 了 这 些 指南 该 如 何 使 用 。 其 中 包括 两 个 第 1 章 中 所 介绍 的 自动 胰岛 素 和 泵 钥 
人 入 式 软件 的 需求 。 该 髋 入 式 系统 的 其 他 需求 在 胰岛 素 泵 的 需求 文档 中 定义 ,可 以 从 本 书 的 网 
页 上 下 载 得 到 。 


3.2 系统 必须 每 10 分 钟 测量 一 次 血糖 ， 如 果 需 要 的 话 就 供应 一 次 胰岛 素 。( 血糖 的 变化 相对 比较 
慢 ， 因 此 不 需要 更 频繁 的 测量 ; 测量 间隔 时 间 过 长 的 话 会 导致 不 必要 的 高 血糖 水 平 。) 


3.6 系统 必须 每 分 钟 运行 一 次 例 行 的 自 检 ， 测试 表 1 定义 的 条 件 ， 并 执行 表 1 中 所 定义 的 相关 动 
作 。( 例 行 的 自 检 可 以 发 现 硬件 和 软件 问题 并 警告 用 户 常规 操作 可 能 有 问题 。) 





图 4-12 ”胰岛素 泵 软件 系统 需求 示例 
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Oe 自然 语言 进行 需求 规格 说 明 的 问题 

自然 语言 的 灵活 性 对 于 规格 说 明 很 有 用 ， 但 也 经 常 导致 问题 。 自 然 语言 需求 存在 不 
清楚 的 可 能 性 ， 读 者 (设计 者 ) 可 能 会 误解 需求 ， 因 为 他 们 与 用 户 的 背景 不 同 。 很 容易 将 
多 个 需求 混合 到 一 条 语句 中 ， 而 组 织 自 然 语 言 需 求 可 能 很 困难 。 


http://software-engineering-book.com/web/natural-language/ 





4.4.2 结构 化 规格 说 明 


结构 化 自然 语言 是 一 种 书写 系统 需求 的 方式 ， 即 使 用 标准 的 方式 而 不 是 自由 文本 的 方式 
书写 需求 。 这 种 方法 保持 了 自然 语言 大 部 分 的 表达 能 力 和 可 理解 性 ， 但 同时 保证 了 规格 说 明 
具有 一 定 的 统一 性 。 结 构 化 语言 表示 法 使 用 模板 来 刻画 系统 需求 。 规 格 说 明 可 以 使 用 编程 语 
言 元 素来 表示 可 选项 和 迭代 ， 可 以 使 用 底 纹 或 不 同 的 字体 来 强调 关键 元 素 。 

Robertson ( Robertson and Robertson 2013 ) 在 他 们 关于 VOLERE 需求 工程 方法 的 书 中 
推荐 先 在 卡片 上 书写 用 户 需 求 ， 每 张 卡片 一 条 需求 。 他 们 建议 每 张 卡片 上 包含 一 些 字 段 ， 例 
如 需求 原理 、 与 其 他 需求 的 依赖 关系 、 需 求 来 源 、 支 持 性 的 材料 等 。 这 与 图 4-13 中 描述 的 
结构 化 规格 说 明 的 例子 中 所 使 用 的 方法 相似 。 

为 了 使 用 结构 化 方法 刻画 系统 需求 ， 需 要 定义 一 个 或 多 个 标准 的 需求 模板 ,并 将 这 些 模 
板 表 示 为 结构 化 的 表单 。 规 格 说 明 可 以 围绕 系统 操纵 的 对 象 、 系 统 执行 的 功能 或 者 系统 处 理 
的 事件 进行 组 织 。 图 4-13 中 描述 了 一 个 基于 表单 的 规格 说 明 的 例子 ， 其 中 定义 了 当 血 糖 处 
于 安全 区 间 时 如 何 计算 要 供应 的 胰岛 素 剂量 。 


胰岛 素 泵 / 控制 软件 /SRS/3.3.2 


功能 计算 胰岛 素 剂量 : 安全 的 血糖 水 平 。 

描述 当前 测量 的 血糖 水 平 在 安全 区 间 3 一 7 个 单位 时 ， 计算 要 供给 的 胰岛 素 的 剂量 。 

输入 当前 血糖 读数 (r2 )， 前 两 个 读数 (r0 Al rl )。 

来 源 当前 读数 来 自传 感 器 。 其 他 读数 来 自 存 储 。 

输出 CompDose 一 一 要 供给 的 胰岛 素 剂 量 。 

目的 地 主 控 制 环 。 

动作 如 果 血 糖水 平稳 定 或 在 下 降 ， 或 者 虽然 在 升 高 但 是 上 升 率 在 下 降 ， 那 么 CompDose 为 
0。 如 果 血 糖水 平 在 升 高 并 且 上 升 率 也 在 增长 ， 那么 CompDose 通过 将 当前 血糖 水 平 
与 前 一 血糖 水 平 之 差 除 以 4 并 四 侈 五 人 来 计算 。 如 果 结 果 为 0， 那 么 将 CompDose ix 
为 可 以 供应 的 最 小 的 剂量 ( 见 图 4-14 )。 . 

要 求 有 前 两 个 读数 ， 这 样 可 以 计算 血糖 水 平 的 变化 率 。 

前 置 条 件 ”胰岛 素 存 储存 有 至 少 一 个 所 允许 的 最 大 单 剂量 胰岛 素 。 

后 置 条 件 r0 被 rl 替代 ， 而 rl r2 SK. 

副作用 无 





图 4-13 胰岛素 有 泵 的 需求 结构 化 规格 说 明 


当 使 用 一 种 标准 的 格式 来 刻画 功能 性 需求 时 ， 应 当 包 含 以 下 信息 。 
1. 对 所 刻画 的 功能 或 实体 的 描述 ; 
2. 关于 其 输入 以 及 输入 来 源 的 描述 ; 
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3. 关于 其 输出 以 及 输出 目的 地 的 描述 ; 

4. 关于 计算 所 需 的 信息 或 者 所 需要 的 系统 中 其 他 实体 的 信息 (“要 求 ”部 分 ); 

5. 关于 所 要 采取 的 行动 的 描述 ; 

6. 如 果 使 用 一 个 功能 性 的 方法 ,那么 用 一 个 前 置 条 件 明确 该 功能 调用 前 必须 满足 的 条 
件 ， 用 一 个 后 置 条 件 刻画 该 功能 调用 后 必须 满足 的 条 件 ; 

7. 关于 该 操作 的 副作用 (如 果 有 的 话 ) 的 描述 。 

使 用 结构 化 规格 说 明 可 以 去 除 自 然 语言 规格 说 明 中 的 一 些 问 题 。 规 格 说 明 中 的 可 变性 
减少 了 ， 需 求 可 以 更 有 效 地 组 织 。 然 而 ， 以 一 种 清晰 、 无 二 义 的 方式 书写 需求 有 时 候 仍 然 很 
难 ， 特 别 是 当 要 刻画 的 计算 很 复杂 时 (例如 ， 如 何 计算 胰岛 素 剂 量 )。 

针对 这 一 问题 ， 可 以 向 自然 语言 需求 中 增加 额外 的 信息 ， 例 如 ， 通 过 使 用 表格 或 系统 的 
图 形 化 模型 。 这 些 可 以 显示 计算 是 如 何 进行 的 ， 系 统 状态 如 何 变化 ， 用 户 如 何 与 系统 交互 ， 
以 及 动作 序列 如 何 执行 。 

当 存 在 多 种 可 能 的 情况 并 且 需 要 描述 每 种 情况 下 要 采取 的 动作 时 ， 表 格 尤 其 有 用 。 胰 
岛 素 泵 中 所 需要 的 胰岛 素 用 量 的 计算 是 基于 血糖 水 平 的 变化 率 。 变 化 率 是 使 用 当前 和 前 面 
的 读数 来 计算 的 。 图 4-14 是 一 个 关于 如 何 使 用 血糖 变化 率 来 计算 胰岛 素 供给 量 的 表格 化 
描述 。 











ea ee 
rere TERT 
TEST 


=r]) 
血糖 水 平 在 升 高 并 且 上 升 率 在 下 降 ((r2-rl)< 
(r1-10)) CompDose = 0 


血糖 水 平 在 升 高 并 且 上 升 率 稳定 或 在 增加 r2 >| CompDose = round ( (r2 -rl) /4) 如 果 四 舍 五 人 
rl & ((r2-rl) > (11 -10)) 后 为 0， 那 么 CompDose = MinimumDose 


图 4-14 胰岛 素 泵 中 的 表格 化 计算 规格 说 明 





4.4.3 Ax 


用 况 (use case) 是 一 种 使 用 图 形 化 模型 和 结构 化 文本 描述 用 户 与 系统 间 交 互 的 方式 . 
用 况 最 初 是 在 Objectory 方法 (Jacobsen et al. 1993) 中 被 引入 ， 并 且 已 经 成 为 统一 建 模 语 言 
(UML) 的 一 个 基本 特性 了 。 按 照 最 简单 的 用 况 形式 ， 一 个 用 况 识别 参与 一 个 交互 的 参与 者 
(actor)， 并 且 对 交互 的 类 型 进行 命名 。 在 此 基础 上 ， 可 以 添加 一 些 描 述 与 系统 交互 的 附加 信 
息 。 这 些 附 加 信息 可 以 是 一 段 文本 描述 ,或 者 是 一 个 或 多 个 图 形 化 模型 ， 例 如 UML 顺序 图 
或 状态 图 ( 见 第 5 BE). 

用 况 使 用 高 层 的 用 况 图 进行 描述 。 一 组 用 况 的 集合 表示 系统 需求 中 将 要 描述 的 所 有 可 能 
的 交互 。 交 互 过 程 中 的 参与 者 (可 以 是 人 或 其 他 系统 ) 被 表示 为 线条 小 人 。 每 种 类 型 的 交互 
锌 表示 为 一 个 命名 的 椭圆 。 参 与 者 和 交互 之 间 用 线 连接 。 作 为 一 个 选项 ， 可 以 在 线 上 增加 往 
头 以 表明 交互 是 如 何 发 起 的 。 这 些 都 在 图 4-15 中 有 所 描述 ， 其 中 显示 了 一 些 来 自 Mentcare 
系统 的 用 况 。 

用 况 识 别 系统 与 其 用 户 或 其 他 系统 之 间 的 各 个 交互 。 每 个 用 况 应 当 使 用 文本 进行 描述 ， 
然后 与 相应 的 UML 模型 (将 更 加 详细 地 描述 场景 ) 联系 起 来 。 例 如 ， 图 4-15 中 “安排 会 诊 ” 
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用 况 的 简要 描述 可 以 如 下 面 这 样 。 

安排 会 诊 允许 两 个 或 更 多 不 同 科室 的 医生 来 同时 查看 同一 个 病人 的 记录 。 一 个 医生 通过 
从 当前 在 线 的 医生 的 下 拉 菜 单 中 选择 参与 人 来 发 起 会 诊 。 病 人 记录 显示 在 他 们 的 屏幕 上 ， 但 
只 有 发 起 的 医生 可 以 编辑 记录 。 此 外 ， 系 统 会 创建 一 个 文本 聊天 窗口 来 帮助 进行 相关 行动 的 
协调 。 这 里 的 一 个 假设 是 ， 可 以 另外 安排 一 个 电话 语音 交流 。 





图 4-15 Mentcare 系统 的 用 议 


UML 是 面 问 对 象 建 模 的 标准 ， 因 此 用 况 和 基于 用 况 的 抽取 在 需求 工程 过 程 中 有 很 多 
使 用 。 然 而 ， 本 书 作 者 对 于 用 况 的 经 验 是 ， 它 们 粒度 过 细 ， 因 此 难以 用 于 讨论 需求 。 利 益 
相关 者 不 理解 用 况 这 一 名 词 ; 他 们 不 觉得 图 形 化 模型 很 有 用 ， 并 且 经 常 对 每 一 个 系统 交 
互 的 详细 描述 没什么 兴趣 。 因 此 ， 与 需求 工程 相 比 ， 我 发 现 用 况 在 系统 设计 中 更 有 帮助 。 
我 将 在 第 5 草 进 一 步 讨论 用 况 ， 其 中 描述 了 用 况 如 何 与 其 他 系统 模型 一 起 用 于 描述 系统 
设计 。 

有 些 人 认为 每 个 用 况 是 一 个 单独 的 低层 交互 场景 。 而 其 他 人 ， 例 如 Stevens 和 Pooley 
( Stevens and Pooley 2006 ) 则 认为 每 个 用 况 包 含 一 组 相关 的 低层 交互 场景 。 其 中 每 一 个 场景 
是 一 个 对 用 况 的 单线 程 执行 。 因 此 ， 一 个 用 况 中 包含 一 个 代表 常规 交互 的 场景 加 上 多 个 代表 
可 能 的 异常 情况 的 场景 。 在 实践 中 ， 这 两 种 理解 都 可 以 使 用 。 


4.4.4 软件 需求 文档 


软件 需求 文档 ， 有 时 称 为 软件 需求 规格 说 明 ( Software Requirement Specification, 
SRS)， 是 关于 系统 开发 者 应 当 实 现 的 所 有 东西 的 正式 陈述 。 需 求 文档 可 以 同时 包括 一 个 系 
统 的 用 户 需求 以 及 对 于 系统 需求 的 详细 规格 说 明 。 有 时 用 户 和 系统 需求 被 集成 到 同一 个 描述 
中 。 而 有 时 ， 用 户 需求 在 系统 需求 规格 说 明 的 一 个 引言 章节 中 描述 。 

当 系统 是 外 包 开 发 的 ， 即 不 同 团 队 开发 系统 的 不 同 部 分 ， 以 及 当 详 细 的 需求 分 析 是 必需 
的 时 候 ， 需 求 文档 十 分 关键 。 在 其 他 情况 下 ， 例 如 ， 开 发 软件 产品 或 业务 系统 时 ， 详 细 的 需 
求 文档 不 一 定 是 必需 的 。 

敏捷 方法 认为 需求 变化 非常 之 快 ， 以 至 于 需求 文档 在 被 写 出 来 时 就 已 经 过 时 了 ， 因 此 这 
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些 工 作 都 白费 了 。 敏 捷 方法 不 使 用 正式 的 文档 ， 而 是 经 常 增 量 地 收集 用 户 需求 并 且 将 它们 作 
为 简短 的 用 户 故 事 写 在 卡片 或 白板 上 。 接 下 来 ， 用 户 对 这 些 故事 在 系统 的 下 一 个 增 量 中 实现 
的 优先 级 进行 排序 。 

对 于 需求 不 稳定 的 业务 系统 ， 这 是 个 好 办 法 ， 然而， 书写 一 个 定义 系统 的 业务 和 可 依赖 
性 需求 的 简短 支持 文档 仍然 是 有 用 的 ; 当 关 注 下 一 个 系统 发 布 的 功能 性 需求 时 ， 很 容易 忘记 
适用 于 系统 整体 的 需求 。 

需求 文档 有 多 种 不 同 的 用 户 ， 从 组 织 中 为 


系统 付款 的 高 层 管理 人 员 到 负责 开发 软件 的 工 ARR, FARA 
需求 以 检查 是 否 满足 
程 师 。 图 4-16 描述 了 文档 可 能 的 用 户 以 及 他 其 需要 。 窜 户 刻画 对 
们 如 何 使 用 文档 。 需求 的 变更 
可 能 的 用 户 的 多 样 性 意味 着 需求 文档 必须 
有 所 折 中 ， 其 中 必须 描述 面向 客户 的 需求 ， 面 emeei 
向 开发 者 和 测试 者 精确 定义 需求 细节 ， 同 时 包 a 


括 关于 未 来 系统 演化 的 信息 。 关 于 预期 的 变更 
的 信息 可 以 帮助 系统 设计 者 避免 做 出 限制 性 较 
强 的 设计 决策 ， 并 帮助 维护 工程 师 按照 新 需求 “| RTE 
对 系统 进行 适应 性 调整。 

需求 文档 中 应 当 包含 的 详细 程度 取决 于 所 
开发 的 系统 类 型 以 及 所 使 用 的 开发 过 程 。 关 刍 ra 
性 系统 需要 详细 的 需求 ， 因 为 必须 详细 分 析 安 


使 用 需求 来 理解 要 开 
发 什么 系统 








全 性 和 信息 安全 以 发 现 可 能 的 需求 错误 。 当 系 a eee a 
统 将 由 其 他 独立 的 公司 开发 时 〈( 砌 如 ， 通 过 外 以 及 系统 各 个 部 分 的 
包 )， 系 统 规 格 说 明 需 要 详细 并 且 精 确 。 如 果 ia 





使 用 内 部 的 迭代 化 的 开发 过 程 ， 那 么 需求 文档 图 4-16 需求 文档 的 用 户 
可 以 不 那么 详细 。 可 以 在 系统 开发 过 程 中 增加 
需求 的 细节 并 解决 需求 二 义 性 。 

图 4-17 描述 了 一 个 基于 IEEE 需求 文档 标准 (IEEE 1998 ) 的 需求 文档 的 组 织 结构 。 这 
个 标准 是 通用 的 ， 可 以 根据 特定 的 使 用 目的 进行 调整 。 此 时 ， 需 要 对 标准 进行 扩展 以 包含 与 
所 预计 的 系统 演化 相关 的 信息 。 这 些 信息 可 以 帮助 系统 的 维护 者 ， 并 且 人 允许 设计 者 考虑 如 何 
支持 未 来 的 系统 特征 。 

很 自然 ,需求 文档 中 所 包含 的 信息 取决 于 所 开发 的 软件 类 型 以 及 要 使 用 的 开发 方法 。 可 
以 为 一 个 包含 由 不 同 公司 开发 的 硬件 和 软件 的 复杂 工程 化 系统 产生 具有 如 图 4-17 中 所 示 的 
结构 的 需求 文档 。 这 样 的 需求 文档 很 可 能 会 很 长 并 且 很 详细 。 因 此 ， 在 文档 中 包含 一 个 全 面 
的 目录 以 及 文档 索引 很 重要 ， 这 样 读 者 可 以 很 容易 我 到 他 们 需要 的 信息 。 

相 比 之 下 ， 面 向 一 个 内 部 开发 的 软件 产品 的 需求 文档 可 以 去 掉 很 多 上 面 所 建议 的 详细 章 
节 。 其 关注 点 将 主要 集中 在 定义 用 户 需 求 以 及 高 层 的 非 功能 性 系统 需求 上 。 系 统 设计 者 和 程 
序 员 根据 自己 的 判断 来 决定 如 何 满足 系统 的 用 户 需 求 概要 。 


RAF ERILE 79 


这 部 分 定义 本 文档 所 期 望 的 读者 人 群 ， 并 且 描 述 文档 的 版 本 历史 ， 包 括 创建 一 
个 新 版 本 的 原因 以 及 对 于 每 个 版 本 中 所 作 修 改 的 总 结 

这 部 分 描述 系统 的 需要 。 其 中 应 当 简 要 描述 系统 的 功能 ， 并 解释 系统 将 如 何 与 
其 他 系统 一 起 工作 。 还 应 当 描 述 系 统 如 何 适应 委托 开发 软件 的 组 织 的 总 体 业 务 或 
战略 目标 

这 部 分 定义 了 文档 中 所 用 的 技术 术语 。 不 应 该 对 读者 的 经 验 或 专业 知识 进行 假设 

Sey gta ts rae apart 
描述 使 用 客户 可 以 理解 的 自然 语言 、 图 形 或 者 其 他 表示 法 。 必 须 遵循 的 产品 和 过 
程 标准 也 应 该 在 这 里 描述 

这 部 分 描述 所 预计 的 系统 体系 结构 的 高 层 概 览 ， 显 示 各 个 系统 模块 上 的 功能 分 
布 。 复 用 的 体系 结构 构件 应 当 进 行 强调 

系统 需求 规格 说 明 这 部 分 更 详细 地 描述 功能 性 需求 和 非 功 能 性 需求 。 如 果 有 必要 ， 可 以 向 非 功能 

性 需求 中 增加 进一步 的 细节 。 还 可 以 定义 与 其 他 系统 的 接口 


系统 模型 这 部 分 包括 图 形 化 的 系统 模型 ， 显 示 系 统 构件 之 间 以 及 系统 及 其 环境 之 间 的 关 
iinn 系 。 可 能 的 模型 包括 对 象 模型 、 数 据 流 模型 或 语义 数据 模型 


这 部 分 描述 系统 所 基于 的 基本 假设 ， 以 及 所 预计 的 由 于 硬件 演化 、 用 户 需 求 变 
系统 演化 更 等 导致 的 变化 。 这 部 分 对 于 系统 设计 者 很 有 用 ， 因 为 可 以 帮助 他 们 避免 做 出 会 
限制 系统 未 来 可 能 的 变化 的 设计 决策 
这 部 分 提供 与 所 开发 的 应 用 相关 的 详细 、 特 定 的 信息 ， 例 如 硬件 和 数据 库 描 述 。 
硬件 需求 定义 了 系统 的 最 小 配置 和 优化 配置 。 数 据 库 需求 定义 了 系统 所 使 用 的 数 
据 的 逻辑 组 织 以 及 数据 之 间 的 关系 
可 以 包含 几 个 文档 索引 。 除 了 常规 的 字母 序 索 引 ， 还 可 以 有 图 索引 、 功 能 索引 等 


图 4-17 需求 文档 的 结构 
















、 了 需求 文档 标准 

一 些 大 型 组 织 ， 例 如 美国 国防 部 和 IEEE， 已 经 定义 了 需求 文档 标准 。 这 些 标 准 通常 
都 是 通用 的 ， 但 是 作为 开发 更 详细 的 组 织 标 准 的 基础 都 是 有 用 的 。 美 国电 气 与 电子 工程 师 
协会 ( Institute of Electrical and Electronic Engineers, IEEE) 是 最 著名 的 标准 提供 者 之 一 ， 
他 们 已 经 开发 了 一 个 需求 文档 结构 标准 。 该 标准 最 适合 于 军事 指挥 和 控制 系统 等 生命 周期 
很 长 且 通 常 由 多 个 组 织 一 起 开发 的 系统 。 


http://software-engineering-book.com/web/requirements-standard/ 


45 ”需求 确认 

需求 确认 是 检查 需求 是 否定 义 了 客户 真正 想 要 的 系统 的 过 程 。 该 过 程 与 抽取 和 分 析 有 重 

， 因 为 它 关 注 发 现 需求 中 的 问题 。 需 求 确 认 非 常 重 要 ， 因为 如 果 需 求 文档 中 的 错误 在 开发 
EAEE, 则 会 导致 广泛 的 返工 开销 。 

通过 进行 系统 变更 修正 一 个 需求 问题 的 开销 通常 比 修复 设计 或 编码 错误 要 高 得 多 。 一 
需求 变更 通常 意味 着 系统 设计 和 实现 也 必须 修改 。 而 且 ， 系 统 接 下 来 还 必须 重新 测试 。 
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在 需求 确认 过 程 中 ， 应 该 对 需求 文档 中 的 需求 进行 各 种 不 同类 型 的 检查 。 这 些 检查 如 下 。 

1. 正确 性 检查 。 检 查 需 求 是 否 反 映 了 系统 用 户 的 真实 需要 。 由 于 环境 不 断 变 化 ， 用 户 需 
求 可 能 在 最 初 被 抽取 后 已 经 发 生 了 变化 。 

2. 一 致 性 检查 。 文 档 中 的 需求 不 应 该 冲突 。 也 就 是 说 ， 不 应 该 有 相互 矛盾 的 约束 或 者 对 
同一 个 系统 功能 的 不 同 描述 。 

3. 完整 性 检查 。 需 求 文档 中 的 需求 应 当 和 定义 系统 用 户 想 要 的 所 有 功能 以 及 约束 。 

4. 现实 性 检查 。 通 过 使 用 关于 现 有 技术 的 知识 ， 应 当 对 需求 进行 检查 以 确保 它们 可 以 在 
系统 预算 范围 内 实现 。 这些 检查 应 当 考 虑 系统 开发 预算 和 进度 。 

5. 可 验证 性 检查 。 为 了 减少 客户 和 承包 商 之 间 可 能 的 争议 ， 所 描述 的 系统 需求 应 当 总 是 
可 验证 的 。 这 意味 着 应 当 能 够 针对 每 一 条 所 刻画 的 需求 编写 一 组 测试 ， 以 便 显示 所 交付 的 系 
统 满足 该 需求 。 


O axe 


需求 评审 的 评委 来 自 系 统 客户 和 系统 开发 团队 ， 他 们 详细 阅读 需求 文档 并 检查 错误 、 
异常 和 不 一 致 的 过 程 。 一 旦 发 现 并 记录 了 这 些 问题 ， 接 下 来 就 需要 客户 和 开发 者 协商 所 发 
现 的 问题 应 该 如 何 解决 。 


http://software-engineering-book.com/web/requirements-reviews/ 









可 以 单独 或 结合 使 用 一 系列 需求 确认 技术 ， 例 如 下 面 这 些 。 

1. 需求 评审 。 由 一 个 评审 团队 系统 性 地 分 析 需 求 ， 检 查 错误 和 不 一 致 性 。 

2. 原型 化 。 包 括 开 发 一 个 可 执行 的 系统 模型 ， 并 与 最 终 用 户 和 客户 一 起 使 用 该 模型 ,来 
确认 其 是 否 满足 他 们 的 需要 和 期 望 。 利 益 相 关 者 对 系统 进行 试验 ， 并 向 开发 团队 反馈 需求 
AE A 

3. 测 试用 例 生 成 。 需 求 应 该 是 可 测试 的 。 如 果 作 为 确认 过 程 的 一 部 分 ， 设 计 针 对 一 个 
NE EASE FEP. aati rt Mth 
需求 难以 实现 并 且 应 当 重 新 考虑 。 在 编写 任何 代码 之 前 ， 根 据 用 户 需 求 开 发 测试 是 测试 驱动 
的 开发 的 一 个 重要 组 成 部 分 。 

不 应 当 低 佑 需求 确认 中 所 包含 的 问题 。 从 根本 上 说 ， 很 难 显示 一 组 需求 实际 上 满足 用 户 
的 需要 。 用 户 需要 想象 系统 运行 以 及 系统 将 如 何 融和 他们 的 工作 。 即 使 对 于 计算 机 专业 技术 
人 员 也 很 难 进行 这 种 抽象 的 分 析 ， 对 于 系统 用 户 就 更 难 了 。 

由 此 造成 的 问题 是 ， 你 很 少 能 在 需求 确认 过 程 中 找到 所 有 的 需求 问题 。 在 相关 利益 相关 
者 就 需求 文档 已 经 达成 共识 后 ， 不 可 避免 地 还 需要 通过 进一步 的 需求 变更 来 纠正 遗漏 和 误解 
的 需求 。 


4.6 ”需求 变更 


大 型 软件 系统 的 需求 总 是 在 变化 中 。 这 样 的 频繁 变化 的 一 个 原因 是 ， 这 些 系统 经 党 被 开 
发 用 于 应 对 “非常 规 ” 的 问题 一 一 无 法 完备 定义 的 问题 ( Rittel and Webber 1973 )。 因 为 问 
题 无 法 被 充分 定义 ， 软 件 需 求 不 可 避免 地 会 不 完整 。 在 软件 开发 过 程 中 ， 利 益 相 关 者 对 于 问 
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题 的 理解 在 不 断 变 化 (图 4-18 )， 于 是 ,系统 需求 必须 演化 以 反映 对 这 一 变化 的 问题 的 理解 。 

一 旦 一 个 系统 已 经 安装 并 被 正常 使 用 ， 新 
的 需求 不 可 避免 地 会 出 现 。 部 分 原因 是 原始 需 
求 中 存在 需要 纠正 的 错误 和 遗漏 。 然 而 ， 大 部 
分 对 系统 需求 的 变更 是 由 于 系统 的 业务 环境 发 
生变 化 而 产生 的 。 

1. 系 统 的 业务 和 技术 环境 总 是 会 在 系统 安 
装 后 发 生变 化 。 可 能 引入 新 的 人 硬件， 或 者 更 新 时 间 
已 有 的 硬件 ; 系统 可 能 要 与 其 他 系统 建立 接口 ; 图 4.18 “需求 演化 
业务 优先 级 可 能 发 生变 化 (所 需要 的 系统 文 持 
会 因此 发 生变 化 ) 新 的 法 律 和 监管 要 求 可 能 会 出 现 并 要 求 系 统 满足 。 

2. 为 系统 付 钱 的 人 和 系统 的 用 户 经 常 是 不 同 的 人 。 系 统 客 户 由 于 组 织 和 预算 约束 而 提出 
需求 。 这 些 可 能 与 最 终 用 户 的 需求 相互 冲突 ,并且 在 交付 后 可 能 必须 为 用 户 增加 新 特征 。 

3. 大 型 系统 通常 有 各 种 各 样 的 利益 相关 者 群体 ， 他 们 的 需求 各 不 相同 。 他 们 的 优先 级 可 
能 相互 冲突 或 矛盾 。 最 终 的 系统 需求 不 可 避免 地 要 进行 折 中 ， 而 有 些 利益 相关 者 必须 给 予 较 
高 的 优先 级 。 根 据 经 验 ， 经 常会 发 现 对 于 给 予 不 同 利益 相关 者 的 支持 的 平衡 必须 变化 ， 而 需 
求 优先 级 要 进行 调整 。 

由 于 需求 在 演化 中 ， 需 要 对 各 个 需求 保持 追踪 并 维护 需求 之 间 的 依赖 关系 连接 ， 这 样 就 
可 以 评价 需求 变更 的 影响 。 因 此 ， 需 要 一 个 正式 的 过 程 来 提出 变更 并 将 它们 与 系统 需求 联系 
起 来 。 这 个 “需求 管理 ”过 程 应 该 在 有 了 一 个 需求 文档 的 草稿 版 本 后 尽快 开始 。 - 

敏捷 开发 过 程 在 设计 时 就 考虑 了 如 何 应 对 需求 在 开发 过 程 中 发 生变 化 。 在 这 些 过 程 中 ， 
当 用 户 提 出 需求 变更 时 ， 这 一 变化 不 需要 经 过 正式 的 变更 管理 过 程 ， 而 是 由 用 户 对 变更 进行 
优先 级 排序 。 如 果 一 个 变更 请 求 优先 级 较 高 ， 那 么 要 决定 下 一 次 迭代 计划 的 哪些 系统 特征 应 
当 为 实现 该 变更 而 暂时 搁置 。 

该 方法 的 问题 是 ， 用 户 不 一 定 是 决定 需求 变更 的 成 本 效益 如 何 的 最 合适 的 人 。 在 存在 
多 个 利益 相关 者 的 系统 中 ， 变 更 会 使 一 些 利益 相关 者 受益 ,但 对 其 他 利益 相关 者 则 不 然 。 此 
时 ， 证 一 个 可 以 平衡 不 同 利益 相关 者 需要 的 独立 权威 机 构 来 决定 变更 是 否 应 当 被 接受 可 能 
更 好 。 








O eznex & BEMER 

一 些 需求 比 其 他 需求 更 容易 受到 变更 的 影响 。 稳 定 的 需求 与 组 织 中 核心 的 、 变 化 组 
慢 的 活动 相关 。 稳 定 的 需求 与 基本 的 工作 活动 相关 。， 易 变 的 需求 更 容易 变化 ,通常 与 反映 
组 织 如 何 完 成 工作 而 不 是 工作 本 身 的 支持 性 的 活动 相关 。 


http://software-engineering-book.com/web/changing-requirements/ 





46.1 需求 管理 计划 
需求 管理 计划 关注 确定 如 何 管理 一 组 不 断 演化 的 需求 。 在 计划 阶段 中 ， 必 须 确 定 以 下 这 


82 PED KAELEFPH 


些 问题 。 

1. 需求 标识 。 每 个 需求 必须 被 唯一 标识 ， 使 得 该 需求 可 以 被 其 他 需求 交叉 引用 ， 并 且 在 
追踪 关系 评价 中 使 用 。 

2. 变更 管理 过 程 。 该 过 程 包 括 一 组 评估 变更 影响 和 成 本 的 活动 。 后 面 的 小 节 将 更 详细 地 
介绍 该 过 程 。 

3. 追踪 关系 策略 。 这 些 策略 定义 了 应 当 记 录 的 每 个 需求 之 间 的 关系 以 及 需求 与 系统 设计 
之 间 的 关系 。 追 踪 关系 策略 还 要 定义 这 些 记 录 应 当 如 何 维护 。 

4. 工具 支持 。 需 求 管理 包括 对 大 量 关 于 需求 的 信息 的 处 理 。 可 以 使 用 的 工具 范围 很 广 ， 
从 专业 化 的 需求 管理 系统 到 共享 的 电子 表格 、 简 单 的 数据 库 系统 。 | 

需求 管理 需要 自动 化 的 支持 ， 相 关 的 软件 工具 应 当 在 这 个 计划 阶段 中 选择 好 。 工 具 需 要 
支持 以 下 这 些 方 面 。 

1. 需求 存储 。 需 求 应 当 在 一 个 安全 、 受 管理 ， 而 且 参 与 需求 工程 过 程 的 每 个 人 都 能 访问 
的 数据 库 中 进行 维护 。 

2. 变更 管理 。 如 果 有 活 牙 的 工具 支持 ， 那 么 变更 管理 过 程 ( 见 图 4-19 ) 可 以 简化 。 工 具 
可 以 对 所 提出 的 变更 以 及 对 这 些 提 议 的 回应 保持 追踪 。 

3. 追踪 关系 管理 。 如 上 所 述 ， 追 踪 关 系 的 工具 支持 使 得 开发 组 可 以 发 现 相 关 的 需求 。 有 
些 可 用 的 工具 使 用 自然 语言 处 理 技术 来 帮助 发 现 需 求 之 间 可 能 的 关系 。 

对 于 小 系统 ， 不 需要 使 用 专门 的 需求 管理 工具 。 需 求 管理 可 以 使 用 共享 的 Web 文档 、 
电子 表格 和 数据 库 来 支持 。 然 而 ， 对 于 更 大 的 系统 ， 应 该 使 用 DOORS (IBM 2013 ) 这 样 的 
系统 专业 化 工具 支持 ， 可 以 使 追踪 大 量 的 变化 需求 变 得 容易 得 多 。 


问题 分 析 和 
变更 规格 说 明 


发 现 
的 问题 


修改 后 











图 4-19 需求 变更 管理 


Q) renz 
需要 对 需求 、 需 求 来 源 以 及 系统 设计 之 间 的 关系 保持 追踪 ， 这 样 就 可 以 针对 所 提出 
的 变更 分 析 其 原因 ， 分 析 变 更 很 可 能 对 于 系统 其 他 部 分 产生 的 影响 。 开 发 人 员 要 能 够 追踪 
一 个 变更 的 影响 是 如 何 像 波 级 一 样 在 整个 系统 中 传播 的 。 为 什么 ? 

http://software-engineering-book.com/web/traceability/ 






46.2 ”需求 变更 管理 


需求 变更 管理 ( 见 图 4-19 ) 针对 的 是 需求 文档 被 批准 后 对 系统 需求 所 提出 的 所 有 变更 。 
变更 管理 很 重要 ， 因 为 要 决定 实现 新 需求 的 成 本 和 收益 是 否 合算 。 使 用 正式 的 变更 管理 过 程 
的 好 处 是 ， 所 有 的 变更 请 求 都 可 以 以 一 致 的 方式 进行 处 理 ， 而 对 于 需求 文档 的 修改 可 以 以 一 
种 受 控 的 方式 进行 。 
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变更 管理 过 程 包含 下 面 3 个 主要 阶段 。 

1. 问题 分 析 和 变更 规格 说 明 。 变 更 管理 过 程 开 始 于 所 发 现 的 一 个 需求 问题 ， 或 者 有 时 开 
始 于 一 个 特定 的 变更 请 求 。 在 此 阶段 中 ,对 问题 或 变更 请 求 进行 分 析 以 检查 其 是 否 合理 。 该 
分 析 被 反馈 给 变更 请 求 者， 然后 请 求 者 会 回应 一 个 更 加 特定 的 需求 变更 请 求 ， 或 者 决定 撤回 
请 求 。 

2. 变更 分 析 和 成 本 考虑 。 所 提出 的 变更 的 效果 使 用 追踪 关系 信息 以 及 关于 系统 需求 的 基 
本 知识 进行 评估 。 根 据 对 需求 文档 以 及 系统 设计 和 实现 的 修改 ， 对 实施 该 变更 的 成 本 进行 佑 
算 。 该 分 析 一 旦 完成 ， 就 可 以 做 出 一 个 是 否 继 续 处 理 该 需求 变更 的 决定 。 

3. 变更 实施 。 如 果 有 必要 ， 还 需要 对 需求 文档 、 系 统 设计 和 实现 进行 修改 。 应 当 对 需求 
文档 进行 适当 组 织 ， 以 便 在 修改 文档 时 不 需要 进行 大 范围 的 重 写 或 重新 组 织 。 与 程序 一 样 ， 
文档 的 可 修改 性 是 通过 尽量 减少 外 部 引用 、 让 文档 的 各 个 部 分 尽量 模块 化 等 手段 实现 的 。 这 
样 ， 单 个 部 分 的 修改 和 替换 不 会 影响 文档 的 其 他 部 分 。 

如 果 一 个 新 需求 必须 被 紧急 实现 ， 那 么 总 是 存在 一 种 倾 问 ， 即 先 修 改 系统 ， 然 后 再 找 时 
间 修 改 需求 文档 。 这 种 做 法 几乎 总 是 会 不 可 避免 地 导致 需求 规格 说 明和 系统 实现 不 同步 调 。 
一 旦 对 系统 进行 了 修改 ， 很 容易 忘记 相应 地 修改 需求 文档 。 在 有 些 情况 下 ， 紧 急 的 系统 变更 
必须 实施 。 此 时 ， 尽 快 更 新 需求 文档 以 包含 修改 后 的 需求 是 很 重要 的 。 


要 点 


© 软件 系统 的 需求 明确 了 系统 应 该 做 什么 ， 并 定义 了 对 于 系统 运行 和 实现 的 约束 。 

o 功能 性 需求 是 对 系统 必须 提供 的 服务 的 陈述 或 者 对 一 些 计 算 必 须 如 何 进行 的 描述 。 
o 非 功能 性 需求 经 党 约束 所 开发 的 系统 以 及 所 使 用 的 开发 过 程 。 这 些 可 以 是 产品 需求 、 
组 织 需 求 或 外 部 需求 。 它 们 经 常 与 系统 的 涌现 性 特性 相关 ， 因 此 适用 于 系统 整体 。 
需求 工程 过 程 包括 需求 抽取 、 需 求 规格 说 明 、 需 求 确认 、 需 求 管理 。 

需求 抽取 是 一 个 可 以 表示 为 一 个 活动 螺旋 的 迭代 化 过 程 ， 其 中 的 活动 包括 需求 发 现 、 
需求 分 类 和 组 织 、 需 求 协商 、 需 求 文档 化 。 

需求 规格 说 明 是 正式 地 描述 用 户 系统 需求 并 创建 一 个 软件 需求 文档 的 过 程 。 

© 软件 需求 文档 是 对 于 系统 需求 的 一 个 达成 共识 的 陈述 。 应 当 对 该 文档 进行 组 织 ， 以 
便 系统 客户 和 软件 开发 者 都 可 以 使 用 它 。 

需求 确认 是 检查 需求 的 正确 性 、 一 致 性 、 完 整 性 、 现 实 性 、 可 验证 性 的 过 程 。 

业务 、 组 织 和 技术 变化 会 不 可 避免 地 导致 软件 系统 需求 的 变化 。 需 求 管理 是 管理 并 
控制 这 些 变化 的 过 程 。 


阅读 推荐 


《 Integrated Requirements Engineering: A Tutorial 》 是 一 篇 教程 式 的 论文 ， 其 中 讨论 了 需 
求 工 程 活动 ， 以 及 如 何 对 它们 进行 适应 性 调整 以 适应 现代 的 软件 工程 实践 。(I. Sommerville, 
IEEE Software, 22 (1), January-February 2005 ) http://dx.doi.org/10.1109/MS.2005.13 

《 Research Directions in Requirements Engineering 》 是 一 个 很 好 的 对 需求 工程 的 调 
研 ， 其 中 突出 了 在 应 对 规模 和 敏捷 性 等 问题 方面 的 未 来 研究 挑战 。( B. H. C. Cheng and J. 
M. Atlee, Proc. Conf. on Future of Software Engineering, IEEE Com-puter Society, 2007 ) 
http://dx.doi.org/10.1109/FOSE.2007.17 


84 REAA KLE FH 


« Mastering the Requirements Process 》( 第 3 版 ) 是 一 本 写 得 很 好 、 很 容易 理解 的 书 ， 其 
中 基于 一 个 特定 的 方法 (VOLERE), 但 是 也 包含 很 多 关于 需求 工程 的 好 的 一 般 化 建议 。( S. 
Robertson and J. Robertson, 2013, Addison-Wesley) 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap4/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/requirements-and-design/ 


胰岛 素 泵 系统 需求 文档 : http://software-engineering-book.com/case-studies/insulin-pump/ 
Mentcare 系统 需求 信息 : http://software-engineering-book.com/case-studies/mentcare-system/ 


练习 


4.1 识别 并 简要 描述 4 种 可 能 会 由 基于 计算 机 的 系统 描述 的 需求 。 

4.2 找 出 下 面 这 段 售票 系统 需求 陈述 中 有 二 义 或 遗漏 的 地 方 : 

一 个 自动 化 的 售票 机 销售 火车 票 。 用 户 选 择 他 们 的 目的 地 并 输入 信用 卡 和 个 人 身份 信 
息 。 机 器 吐出 火车 票 ， 而 用 户 的 信用 卡 账 户 会 进行 付款 。 当 用 户 按 下 启动 按钮 ， 一 个 
显示 候选 目的 地 的 菜单 被 激活 ， 同 时 系统 向 用 户 显示 一 条 选择 目的 地 以 及 所 需要 的 票 
的 类 型 的 消息 。 一 旦 选择 了 目的 地 ， 系 统 显 示 票 价 并 请 客户 输入 他 们 的 信用 卡 。 检 查 
信用 卡 是 否 有 效 之 后 ， 系 统 请 用 户 输入 个 人 身份 (PIN 码 )。 信 用 卡 交 易 确认 后 ， 票 被 
吐出 。 

43 ”使 用 本 章 中 介绍 的 结构 化 方法 重 写 以 上 陈述 。 以 合理 的 方式 解决 所 识别 的 二 义 性 。 

44 ”为 售票 系统 书写 一 组 非 功 能 性 需求 ， 明 确 所 期 望 的 可 靠 性 和 响应 时 间 。 

4.5 ”使 用 本 章 所 建议 的 技术 (其 中 目 然 语言 描述 呈现 为 标准 的 格式 )， 针 对 下 面 这 些 功 能 书 
写 看 似 合理 的 用 户 需 求 。 

e 一 个 无 人 值守 的 汽油 和 泵 系统 ,包含 一 个 信用 卡 读 卡 器 。 客 户 通过 读 卡 器 刷卡 ， 然 后 
输入 所 需要 的 汽油 量 。 系 统 供应 相应 数量 的 汽油 ， 并 从 客户 的 账户 扣 款 。 

e 一 个 银行 ATM 机 的 现金 取款 功能 。 

e 在 一 个 互联 网 银行 系统 中 ， 人 允许 客户 从 所 持 有 的 当前 银行 的 一 个 账户 中 转账 到 同一 
银行 的 为 一 个 账户 的 功能 ， 

46 一 个 负责 起 草 系统 需求 规格 说 明 的 工程 师 ， 应 当 如 何 记 录 功 能 性 需求 和 非 功 能 性 需求 
之 间 的 关系 ? 请 给 出 你 的 建议 。 

4.7 根据 你 自己 关于 ATM 机 使 用 的 经 验 ， 开 发 一 组 可 以 作为 理解 ATM 机 系统 需求 的 基础 
的 用 况 。 

4.8 哪些 人 应 该 参加 需求 评审 ? 画 一 个 过 程 模型 ， 描 述 需 求 评 审 如 何 组 织 。 

49 当 系 统 面 临 必须 满足 的 紧急 修改 时 ,， 系 统 中 的 软件 可 能 不 得 不 在 相应 的 需求 变更 被 批 
准 前 就 进行 修改 。 建 议 一 个 实施 这 类 修改 的 过 程 模型 ， 使 之 可 以 确保 需求 文档 和 系统 
实现 不 会 变 得 不 一 致 。 

4.10 假设 你 刚 在 一 个 软件 用 户 那 里 获得 一 份 工作 ， 该 用 户 单 位 正好 与 你 先前 的 雇主 单位 签 
订 了 一 份 系统 开发 合同 。 你 发 现 你 现在 的 单位 与 先前 的 雇主 单位 对 需求 有 不 同 的 理 
解 。 讨 论 在 这 种 情况 下 你 应 该 怎样 做 。 你 知道 如 果 需 求 中 的 二 义 性 不 解决 那么 你 现在 
所 在 的 单位 的 成 本 将 会 增加 。 然 而 ， 你 同时 也 对 先前 的 雇主 单位 有 相应 的 保密 责任 。 
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Software Engineering, Tenth Edition 


系统 建 模 





目标 

本 章 的 目标 是 介绍 可 以 作为 需求 工程 和 系统 设计 过 程 的 一 部 分 开发 的 系统 模型 。 阅 读 完 
本 章 后 ， 你 将 : 

o 理解 图 形 化 模型 可 以 如 何 用 来 表示 软件 系统 ， 以 及 为 什么 需要 多 种 不 同 的 模型 来 完 

整 表示 一 个 系统 ; 

o 理解 几 个 基本 的 系统 建 模 视角 ， 包 括 上 上下文、 交互、 结构、 行为 ; 

e 理解 主要 的 统一 建 模 语言 (UML) 图 类 型 ， 以 及 如 何在 系统 建 模 中 使 用 这 些 图 ; 

o 了 解 模 型 驱动 的 工程 ， 其 中 会 从 结构 以 及 行为 模型 自动 生成 一 个 可 执行 的 系统 。 

系统 建 模 就 是 建立 系统 抽象 模型 的 过 程 ， 其 中 每 一 个 模型 表示 系统 的 一 个 不 同 的 视角 或 
观点 。 系 统 建 模 现在 通常 意味 着 在 UML 中 的 图 类 型 基础 上 使 用 某 种 图 形 化 的 表示 法 表示 系 
统 。 然 而 ， 也 有 可 能 要 开发 系统 的 形式 化 (数学 ) 模型 ,通常 将 其 作为 详细 的 系统 规格 说 明 。 
本 章 将 介绍 基于 UML 的 图 形 化 建 模 ， 形 式 化 建 模 将 在 第 10 章 中 简要 介绍 。 

在 需求 工程 过 程 中 使 用 模型 ， 是 为 了 帮助 得 到 详细 的 系统 需求 ; 在 设计 过 程 中 使 用 模 
型 ， 是 为 了 问 实 现 系统 的 工程 师 描述 系统 ; 在 实现 系统 之 后 还 要 使 用 模型 ， 是 为 了 描述 系统 
的 结构 和 运行 。 可 以 同时 针对 现 有 系统 和 符 开 发 系统 开发 系统 模型 。 

1. 现 有 系统 的 模型 在 需求 工程 过 程 中 使 用 。 这 些 模型 帮助 阐明 现 有 系统 做 什么 ， 并 且 可 
以 用 于 让 利益 相关 者 之 间 的 讨论 聚焦 于 当前 系统 的 优势 和 弱点 。 

2. 新 系统 的 模型 在 需求 工程 过 程 中 使 用 。 这 些 模型 帮助 解释 对 其 他 系统 利益 相关 者 所 提 
出 的 需求 。 工 程 师 使 用 这 些 模型 来 讨论 设计 方案 并 描述 系统 以 用 于 实现 。 如 果 你 使 用 模型 驱 
动 的 工程 化 过 程 ( Brambilla, Cabot, and Wimmer 2012 )， 那 么 你 可 以 在 系统 模型 基础 上 生 
成 一 个 完整 的 或 部 分 系统 实现 。 


O «-we8e 


统一 建 模 语言 (The Unified Modeling Language, UML) 是 一 组 13 种 不 同 的 图 形 类 型 ， 
它们 可 以 被 用 于 建 模 软 件 系 统 。UML 是 在 20 世纪 90 年 代 的 面向 对 象 建 模 方 面 的 工作 基 
础 上 出 现 的 ， 其 中 相似 的 面向 对 象 表示 法 被 集成 到 一 起 创建 了 UML。UML 的 一 个 重大 修 
改 (UML 2) 于 2004 年 定稿 。UML 被 广泛 接受 成 为 开发 软件 系统 模型 的 标准 方法 。 还 有 
一 些 UML 的 变 体 (例如 ，SysML) 被 提出 ， 用 于 更 通用 的 系统 建 模 。 


http://software-engineering-book.com/web/uml/ 








理解 一 个 系统 模型 并 不 是 系统 的 一 个 完备 表示 ， 这 一 点 很 重要 。 系 统 模型 有 意 去 掉 一 些 
细 市 以 使 模型 更 容易 理解 。 模 型 是 所 研究 的 系统 的 一 种 抽象 ， 而 不 是 系统 的 男 一 种 表示 。 系 
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统 的 一 个 表示 应 当 包含 关于 所 表示 的 实体 的 所 有 信息 。 而 一 个 抽象 则 有 意 简化 一 个 系统 设计 
并 选取 最 显著 的 特性 。 例 如 ， 本 书 附带 的 PowerPoint 是 对 本 书 要 点 的 抽象 。 然 而 ， 如 果 将 
本 书 从 英语 翻译 为 意大利 语 ， 那 么 将 产生 另 一 种 表示 。 翻 译 者 的 意图 是 尽量 保持 本 书 在 英文 
版 中 的 所 有 信息 。 

你 可 以 开发 不 同 的 模型 来 从 不 同 的 视角 表示 系统 。 

1. 外 部 视角 ， 会 对 系统 的 上 下 文 或 环境 进行 建 模 ; 

2. 交互 视角 ， 会 对 系统 及 其 环境 或 者 系统 的 构件 之 间 的 交互 进行 建 模 ; 

3. 结构 化 视角 ， 会 对 系统 的 组 织 或 者 系统 所 处 理 的 数据 的 结构 进行 建 模 ; 

4. 行为 视角 ， 会 对 系统 的 动态 行为 以 及 系统 如 何 响应 事件 进行 建 模 。 

当 开 发 系统 模型 时 ， 开 发 者 经 常 可 以 灵活 决定 图 形 化 表示 法 的 使 用 方式 。 开 发 者 并 不 总 
是 需要 严格 坚持 一 些 细节 。 一 个 模型 的 细节 和 严格 性 取决 于 开发 者 打算 如 何 使 用 它 。 以 下 是 
图 形 化 模型 的 3 种 常见 的 使 用 方式 。 

1. 作为 一 种 推动 关于 现 有 或 所 设想 的 系统 的 讨论 以 及 使 讨论 聚焦 的 方式 。 模 型 的 目的 是 
推动 以 及 聚焦 参与 系统 开发 的 软件 工程 师 之 间 的 讨论 。 模型 可 以 不 完整 (只 要 它们 覆盖 了 讨 
论 的 要 点 )， 而 且 可 能 会 以 一 种 非 正 式 的 方式 使 用 建 模 表 示 法 。 这 是 敏捷 建 模 中 常见 的 模型 
使 用 方式 (Ambler and Jeffries 2002 ) 。 

2. 作为 一 种 文档 化 现 有 系统 的 方式 。 当 模型 被 用 于 文档 化 时 ， 它 们 不 需要 是 完整 的 ， 因 
为 你 可 能 只 需要 使 用 模型 去 描述 系统 的 一 些 部 分 。 然 而 ， 这 些 模型 必须 是 正确 的 一 一 它们 应 
当 正 确 地 使 用 相应 的 建 模 表 示 法 ， 并 且 是 对 系统 的 准确 描述 。 

3. 作为 一 种 可 以 用 于 生成 系统 实现 的 详细 系统 描述 。 当 模型 作为 基于 模型 的 开发 过 程 的 
一 部 分 被 使 用 时 ， 系 统 模型 必须 是 完整 而 且 正 确 的 。 它 们 可 以 作为 生成 系统 源 代码 的 基础 ， 
因此 必须 非常 小 心 不 要 混 清 相似 但 含义 各 不 相同 的 符号 〈( 例 如， 线形 箭头 和 块 状 箭头 )。 

在 本 章 中 ， 将 使 用 统一 建 模 语言 (UML) (Rumbaugh, Jacobson, and Booch 2004; 
Booch, Rumbaugh, and Jacobson 2005 ) 中 所 定义 的 图 形 。UML 已 经 成 为 面向 对 象 建 模 的 
标准 语言 。UML 有 13 种 图 的 类 型 ， 因 此 支持 许多 不 同类 型 的 系统 模型 的 创建 。 然 而 ,一 些 
调研 〈 Erickson and Siau 2007 ) 表明 ， 大 多 数 UML 用 户 认 为 5 种 类 型 的 图 就 可 以 表示 系统 
的 基本 特性 了 。 因 此 ， 本 章 关 注 以 下 5 种 UML 图 类 型 。 

|. 活动 图 (activity diagram)， 描 述 一 个 过 程 或 数据 处 理 中 所 包含 的 活动 。 

2. 用 况 图 (use case diagram)， 摘 述 一 个 系统 与 其 环境 之 间 的 交互 。 

3. 顺序 图 (sequence diagram)， 摘 述 参与 者 与 系统 之 间 以 及 系统 构件 之 间 的 交互 。 

4. 类 图 (class diagram)， 摘 述 系 统 中 的 对 象 类 以 及 这 些 类 之 间 的 联系 。 

5. KAA (state diagram)， 描 述 系 统 如 何 对 内 部 和 外 部 的 事件 做 出 啊 应 。 


5.1 上 下 文 模型 


在 系统 规格 说 明 的 早期 阶段 ， 你 应 当 确 定 系统 的 边界 ， 也 就 是 说 确定 哪些 属于 、 哪 些 不 
属于 所 开发 的 系统 。 这 其 中 包含 与 系统 利益 相关 者 一 起 工作 来 决定 哪些 功能 应 当 包含 在 系统 
中 ， 以 及 哪些 处 理 和 操作 应 当 在 系统 的 运行 环境 中 执行 。 开 发 者 可 能 会 决定 在 所 开发 的 软件 
中 应 当 实 现 对 一 些 业 务 过 程 的 自动 化 支持 ， 但 是 其 他 一 些 过 程 则 应 该 手工 完成 或 由 其 他 系统 
来 支持 。 应 该 考虑 所 开发 的 系统 在 功能 上 与 已 有 系统 可 能 存在 的 重 琶 部 分 ， 并 决定 新 功能 应 
当 在 哪里 实现 。 这 些 决 定 应 当 在 该 过 程 的 早期 做 出 ， 以 控制 理解 系统 需求 和 设计 所 需要 的 系 
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统 成 本 和 时 间 。 

有 些 时 候 ， 系 统 及 其 环境 的 边界 相对 清楚 。 例 如 ， 当 一 个 自动 化 系统 准备 取代 一 个 已 有 
的 手工 或 计算 机 化 的 系统 时 ， 新 系统 的 环境 通常 与 现 有 系统 的 环境 一 样 。 而 在 其 他 情况 下 则 
存在 更 多 的 灵活 性 ， 你 需要 在 需求 工程 过 程 中 确定 系统 及 其 环境 的 边界 由 哪些 因素 构成 。 

例如 ， 假 设 你 正在 为 Mentcare 病人 信息 系统 开发 规格 说 明 。 该 系统 将 会 管理 关于 参加 
心理 健康 诊断 以 及 安排 治疗 的 病人 的 信息 。 在 为 该 系统 开发 规格 说 明 时 ， 必 须 确定 系统 是 否 
应 当 只 关注 收集 诊疗 的 信息 (使 用 其 他 系统 来 收集 病人 的 个 人 信息 )， 还 是 系统 也 应 该 收集 
病人 的 个 人 信息 。 依 赖 于 其 他 系统 获取 病人 信息 的 好 处 是 避免 了 数据 重复 。 然 而 主要 的 不 利 
之 处 是 使 用 其 他 系统 可 能 会 让 信息 访问 比较 慢 ， 另 外 如 果 这 些 系统 不 可 用 那么 Mentcare A 
统 也 会 无 法 使 用 。 

在 有 些 情 况 下 ， 系 统 的 用 户 基础 非常 分 散 ， 用户 有 很 多 不 同 的 系统 需求 。 你 可 能 会 决定 
不 去 定义 系统 边界 ， 而 是 开发 一 个 可 以 通过 调整 适应 不 同 用 户 需 要 的 可 配置 系统 。 我 们 在 第 
1 章 中 所 介绍 的 iLearn 系统 的 开发 中 就 采用 了 这 种 方法 。 该 系统 的 用 户 范围 很 广 ， 从 很 小 的 
还 无 法 阅读 的 小 孩子 到 年 轻 人 、 他 们 的 老师 以 及 学 校 管理 人 员 。 因 为 这 些 用 户 群 体 需 要 不 同 
的 系统 边界 ， 我 们 刻画 了 一 个 可 以 允许 系统 在 部 署 时 再 确定 边界 的 可 配置 系统 。 

系统 边界 的 定义 不 是 一 个 与 价值 无 关 的 判断 。 社 会 和 组 织 关注 点 可 能 意味 着 系统 边界 
的 位 置 可 能 要 由 非 技 术 因 素 决定 。 例 如 ， 人 们 可 能 会 有 意 划 定 一 个 系统 的 边界 ， 以 使 完整 的 分 
析 过 程 可 以 在 一 个 地 点 进行 ; 可 以 通过 选择 边界 来 避免 请 教 一 个 特别 不 好 相处 的 管理 人 员 ; 可 
以 通过 选择 边界 使 系统 成 本 增加 ， 并 且 系 统 开发 部 门 因此 必须 扩张 以 完成 系统 的 设计 和 实现 。 

一 旦 关于 系统 边界 的 一 些 决定 已 经 做 出 ， 需 要 进行 的 一 部 分 分 析 活 动 是 定义 系统 上 下 文 
以 及 系统 对 于 其 环境 的 依赖 。 通 篆 ,， 产 生 一 个 简单 的 体系 结构 模型 是 该 活动 的 第 一 步 。 

图 5-1 是 一 个 描述 Mentcare 系统 及 


«system» 
其 环境 中 的 其 他 系统 的 上 下 文 模型 。 从 PE 
中 可 以 看 到 Mentcare 系统 与 一 个 预约 系 arr system 
ES y «system» 
4 ( Appointments system) 以 及 一 个 更 通 gee oat Admissions 
用 的 病人 记录 系统 (Patient record system) system pe 
相连 接 并 共享 数据 。 该 系统 还 与 管理 报 
K 系统 (Management reporting system )、 
` «system» «system» 
医院 许可 系统 ( Admissions system) 以 HC statistics Prescription 
> system 
及 一 个 为 研究 目的 收集 信息 的 统计 系 Ls Berd : 
MAP ppointments 
4, ( HC statistics system) 相连 接 。 最 终 ， system 
该 系统 使 用 一 个 处 方 系统 ( Prescription Si Mentoare RARE KX 


system) 来 生成 病人 的 药物 处 方 。 

上 下 文 模型 通常 显示 环境 包括 多 个 其 他 的 自动 化 系统 。 然 而 ， 这 种 模型 没有 显示 环境 中 
的 系统 与 所 描述 的 系统 之 间 关 系 的 类 型 。 外 部 系统 可 能 会 产生 提供 给 系统 的 数据 或 者 消费 来 
目 系统 的 数据 。 它 们 可 能 与 系统 共享 数据 ， 它 们 可 能 会 直接 通过 网 络 连接 或 完全 没有 连接 。 
这 些 外 部 系统 可 能 在 物理 上 位 于 同一 位 置 或 者 位 于 不 同 的 建筑 中 。 所 有 这 些 关 系 都 可 能 会 影 
响 所 定义 的 系统 的 需求 和 设计 ， 必 须 加 以 考虑 。 因 此 ， 简 单 的 上 下 文 模型 可 以 和 其 他 模型 
(例如 ， 业 务 过 程 模型 ) 一 起 使 用 。 业 务 过 程 模型 描述 了 人 以 及 自动 化 的 过 程 ， 其 中 会 使 用 
特定 的 软件 系统 。 
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UML 活动 图 可 以 用 于 显示 系统 使 用 所 处 的 业务 过 程 。 图 5-2 是 一 个 UML 活动 图 ， 其 
中 描述 了 Mentcare 系统 如 何 用 于 一 种 重要 的 心理 健康 问题 治疗 过 程 一 一 强制 留置 。 


: 移交 给 
的 地 方 ‘ 移交 给 通知 社会 
[危险 的 ] [可 用 ] \、 安 全 的 医院 关怀 机 构 


通知 近亲 属 
dy: @ 


l [不 危险 的 ] 


«system» 
Mentcare 








告知 
病人 权利 









«system» 


«system» Admissions 
Mentcare system 
图 5-2 强制 留置 的 过 程 模型 


有 时 候 ， 患 有 心理 健康 问题 的 病人 可 能 对 他 人 或 自己 造成 危险 。 因 此 可 能 必须 违背 他 们 
的 意愿 强行 将 他 们 留置 在 医院 ， 以 使 处 置 过 程 可 以 得 到 监管 。 这 种 留置 需要 遵循 严格 的 法 律 
保护 ， 例 如， 留置 病人 的 决定 必须 进行 常规 评审 以 避免 在 没有 合理 原因 的 情况 下 长 期 留置 病 
A... Menteare 系统 的 一 个 关键 功能 是 确保 这 种 保护 得 到 实现 ， 并 且 病 人 的 权利 能 够 得 到 尊重 。 

UML 活动 图 显示 了 过 程 中 的 活动 以 及 从 一 个 活动 到 另 一 个 活动 的 控制 流 。 活 动 的 开始 
用 一 个 实心 圆 表示 ， 结 束 用 一 个 在 另 一 个 圆 里 面 的 实心 圆 表示 。 圆 角 和 矩形 表示 活动 ， 也 就 是 
必须 执行 的 特定 的 子 过 程 。 还 可 以 在 活动 图 中 包含 对 象 。 图 $-2 显示 的 相关 系统 可 用 来 支持 
强制 留 署 过 程 中 的 不 同 子 过 程 。 图 中 通过 使 用 UML 的 构造 型 ( stereotype) 特性 显示 了 这 些 
都 是 独立 的 系统 ， 其 中 方 框 中 «» 括 起 来 的 是 实体 的 类 型 。 

箭头 表示 从 一 个 活动 到 另 一 个 活动 的 工作 流 ， 实 心 条 ( 粗 线段 ) 表示 活动 间 的 协调 。 当 
来 自 多 个 活动 的 流 到 达 一 个 实心 条 时 ， 表 示 所 有 这 些 活动 结束 之 后 才能 继续 进行 。 当 从 一 个 
实心 条 流出 多 个 活动 时 ， 表 示 这 些 活动 可 以 并 行 执行 。 因 此 ， 图 5-2 中 显示 ， 通 知 社会 关怀 
机 构 和 病人 的 近亲 属 ， 以 及 更 新 留置 登记 信息 可 以 同时 进行 。 

可 以 在 箭头 旁 标注 警戒 条 件 ( 方 括号 中 )， 说 明 什 么 情况 下 过 程 流 可 以 进行 。 从 图 5-2 中 
可 以 看 到 ， 对 社会 有 危险 和 没有 危险 的 病人 的 不 同 的 流 。 对 社会 有 危险 的 病人 必须 留置 在 一 
个 安全 的 地 方 。 然 而 ， 有 自杀 倾向 、 会 对 自身 产生 危险 的 病人 可 以 准许 进入 医院 中 合适 的 病 
房 ， 这 些 地 方 可 以 让 病人 处 于 严密 监视 之 中 。 


5.2 ”交互 模型 


所 有 系统 都 包含 某 种 类 型 的 交互 。 可 以 是 用 户 交互 ， 其 中 包含 用 户 输入 和 输出 ; 也 可 
以 是 所 开发 的 软件 和 环境 中 的 其 他 系统 之 间 的 交互 ; 或 者 是 软件 系统 内 部 不 同 构件 之 间 的 交 
互 。 用 户 交 互 建 模 很 重要 ， 因 为 它 可 以 帮助 识别 用 户 需 求 。 建 模 系统 间 的 交互 可 以 突出 可 能 
出 现 的 通信 问题 。 建 模 构 件 交 互 可 以 帮助 我 们 理解 所 提出 的 系统 结构 是 否 能 实现 所 要 求 的 系 
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统 性 能 和 可 依赖 性 。 

本 章 讨论 以 下 两 个 相关 的 交互 建 模 方 法 : 

1. 用 况 建 模 ， 主 要 用 于 建 模 系统 与 外 部 主体 (人 类 用 户 或 其 他 系统 ) 之 回 的 交互 ; 

2. 顺序 图 ， 用 于 建 模 系统 构件 之 间 的 交互 ， 但 是 也 可 以 包含 外 部 主体 。 

用 况 模 型 和 顺序 图 表示 不 同 抽象 层次 上 的 交互 ， 因 此 可 以 一 起 使 用 。 例 如 ， 一 个 高 层 用 
况 中 所 包含 的 交互 的 细节 可 以 在 一 个 顺序 图 中 描述 。UML 还 包括 一 种 可 以 用 于 建 模 交互 的 
通信 图 。 这 里 没有 介绍 这 种 图 ， 因 为 通信 图 只 是 顺序 图 的 男 一 种 表示 ， 


5.2.1 用 况 建 模 


用 况 建 模 最 初 是 由 Ivar Jacobsen 在 20 世纪 90 年 代 开 发 的 ( Jacobsen et al. 1993), mis 
持 用 况 建 模 的 UML 图 类 型 是 UML 的 一 部 分 。 一 个 用 况 可 以 作为 一 个 用 户 在 该 交互 中 对 系 
统 的 期 望 的 简单 描述 。 第 4 章 介 绍 了 用 于 需求 抽取 的 用 况 。 如 第 4 章 中 所 述 ， 用 况 模型 在 系 
统 设计 的 早期 而 不 是 需求 工程 中 比较 有 用 。 

每 个 用 况 表 示 一 个 包含 与 系统 的 外 部 交互 的 离散 任务 。 如 果 使 用 最 简单 的 形式 ， 用 况 表 
示 为 一 个 椭圆 ， 参 与 用 况 的 参与 者 表示 为 线形 小 人 。 图 5-3 展示 了 Mentcare 系统 的 一 个 用 况 ， 
其 中 描述 了 一 个 从 Mentcare 系统 向 更 通用 的 病人 记录 系统 上 传 数据 的 任务 。 这 个 更 通用 的 系 
统 保存 了 关于 病人 的 总 结 数 据 ， 而 不 是 每 次 诊疗 的 数据 (这些 数据 保存 在 Mentcare 系统 中 )。 


一 一 


医疗 接待 员 病人 记录 系统 
图 5-3 “传输 数据 ”用 况 


注意 该 用 况 中 有 两 个 参与 者 一 一 一 个 传输 数据 的 操作 人 员 ， 病 人 记录 系统 。 线 形 小 人 表 
示 法 最 初 使 用 时 是 为 了 表示 与 人 的 交互 ,但 现在 也 可 以 表示 其 他 外 部 系统 和 硬件 。 按 照 规范 
的 画 法 ， 用 况 图 应 该 使 用 没有 箭头 的 线 ， 因 为 在 UML 中 箭头 表示 消息 流 的 方向 。 很 明显 ， 
在 一 个 用 况 中 消息 会 双向 传递 。 然而， 图 5-3 中 的 箭头 以 一 种 非 正 规 的 方式 表示 医疗 接待 员 
发 起 事务 以 及 数据 是 传输 到 病人 记录 系统 中 。 

用 况 图 对 于 交互 给 出 了 一 个 简单 的 概览 ， 在 此 基础 上 还 要 增加 更 多 的 细节 以 获得 完整 的 
交互 描述 。 这 些 细 节 可 以 是 简单 的 文本 描述 、 使 用 表格 的 结构 化 描述 ， 或 者 顺序 图 。 可 以 根 
据 具 体 的 用 况 以 及 所 需要 的 详细 程度 从 中 选择 最 合适 的 格式 。 我 发 现 标准 的 表格 化 格式 是 最 
有 用 的 。 图 5-4 显示 了 一 个 “传输 数据 ”用 况 的 表格 化 摘 述 。 


医疗 接待 员 可 以 从 Mentcare 系统 向 健康 管理 机 构 维 护 的 通用 的 病人 记录 数据 库 传输 数据 。 所 
传输 的 信息 可 以 是 更 新 的 个 人 信息 (地址 、 电 话 号 码 等 ) 或 者 病人 的 诊断 和 治疗 情况 总 结 

病人 个 人 信息 、 治 疗 总 结 

医疗 接待 员 发 出 的 用 户 命令 


PRS 已 经 更 新 的 确认 信息 


医疗 接待 员 必 须 具 有 访问 病人 信息 以 及 PRS 的 适当 的 信息 安全 许可 
图 5-4 “传输 数据 ”用 况 的 表格 化 描述 
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复合 的 用 况 图 显示 了 多 个 不 同 的 用 况 。 有 时 候 可 以 只 使 用 一 个 复合 用 况 图 包含 系统 中 所 
有 可 能 的 交互 。 人 然而， 如果 用 况 数量 较 多 那么 就 无 法 
做 到 了 。 在 这 种 情况 下 ， 可 以 开发 多 个 用 况 图 ， 其 中 
每 一 个 显示 相互 关联 的 用 况 。 例 如 ， 图 5-5 显示 了 
Mentcare 系统 所 有 的 用 况 ， 其 中 包含 参与 者 “医疗 接 
待 员 ”。 在 此 基础 上 应 该 为 其 中 每 一 个 用 况 提 供 更 加 
详细 的 描述 。 

UML 包含 一 系列 元 素来 支持 将 一 个 用 况 的 全 部 
或 部 分 共享 给 其 他 用 况 图 。 虽 然 这 些 元 素 有 时 候 对 系 
统 设计 者 有 一 定 帮助 ， 我 的 经 验 是 很 多 人 《特别 是 最 
终 用 户 ) 发 现 他 们 很 难 理解 这 些 元 素 。 为 此 ， 这 里 没 
有 描述 这 些 元 素 。 


5.2.2 顺序 图 图 5-5 “包含 “医疗 接待 员 ” 角 色 的 用 况 





UML 中 的 顺序 图 主要 用 于 建 模 参与 者 与 系统 中 的 对 象 之 间 的 交互 以 及 这 些 对 象 自 身 相 
互 间 的 交互 。UML 为 顺序 图 提供 了 丰富 的 语法 ， 这 使 得 顺序 图 可 以 对 许多 不 同 种 类 的 交互 
进行 建 模 。 由 于 篇 幅 限制 这 里 无 法 介绍 所 有 可 能 的 描述 方式 ， 因 此 ， 这 里 介绍 的 重点 是 顺序 
图 的 一 些 基本 特性 。 

顾名思义 ， 顺 序 图 显示 在 一 个 特定 的 用 况 或 用 况 实 例 执行 过 程 中 发 生 的 交互 序列 。 
图 5-6 是 一 个 描述 顺序 图 的 基本 表示 法 的 例子 。 这 个 图 对 查看 病人 信息 用 况 中 所 包含 的 交互 
进行 了 建 模 ， 其 中 一 个 医疗 接待 员 可 以 看 到 一 些 病人 信息 。 


医疗 接待 员 


+ P: PatientInfo D: Mentcare-DB| |AS: Authorization 


ViewInfo (PID) report (Info, PID, | 





图 5-6 查看 病人 信息 的 顺序 图 


该 顺序 图 的 顶部 列 出 了 参与 交互 的 对 象 和 参与 者 ， 每 个 下 面 还 有 一 个 垂直 方向 的 虚线 。 
带 标签 的 箭头 表示 对 象 之 间 的 交互 。 虚 线 上 的 矩形 表示 所 关心 的 对 象 的 生命 线 ( 即 对 象 实例 
参与 计算 的 时 间 )。 可 以 按照 从 上 到 下 的 顺序 阅读 这 些 交 互 。 箭 头 上 的 标签 表示 对 对 象 的 调 
用 、 调 用 参数 以 及 返回 值 。 这 个 例子 中 还 显示 了 用 于 表示 可 选项 的 表示 法 。 其 中 包括 带 有 
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alt 名 称 的 方 框 、 方 括号 中 的 条 件 、 用 虚线 分 隅 的 可 选 的 交互 选项 。 

可 以 按照 以 下 方式 理解 图 5-6。 

1. 医疗 接待 员 触 发 PatientInfo( 病 人 信息 ) 对 象 类 的 一 个 实例 P 中 的 ViewInfo( 查 看 信息 ) 
方法 ， 提 供 病 人 的 标识 符 PID 来 确定 所 需要 的 信息 。P 是 一 个 用 户 界 面 对 象 ， 呈 现 为 一 个 显 
示 病 人 信息 的 表单 。 

2. 实例 P 调用 数据 库 以 返回 所 需要 的 信息 ， 提 供 接 待 员 的 标识 符 UID 用 于 信息 安全 检 
A (在 这 个 阶段 ， 接 待 员 的 UID 来 自 哪 里 不 重要 )。 

3. 数据 库 通过 一 个 权限 系统 检查 接待 员 是 否 具 有 执行 这 个 动作 的 权限 。 

4. 如 果 权 限 检查 通过 ， 那 么 病人 信息 被 返回 并 呈现 在 用 户 屏 幕 上 的 一 个 表单 上 。 如 果 权 
限 检查 不 通过 ， 那 么 返回 一 个 错误 消息 。 左 上 和 角 那 个 带 有 alt 标签 的 方 框 是 一 个 选择 框 ， 表 
示 所 包含 的 交互 中 的 某 一 个 会 被 执行 。 选 择 每 个 选项 的 条 件 显示 在 方 插 号 中 。 

图 5-7 是 一 个 来 自 同一 系统 的 顺序 图 的 进一步 的 例子 。 其 中 展示 了 两 个 新 的 特性 ， 包 
括 系 统 中 参与 者 之 间 的 直接 通信 以 及 作为 操作 序列 一 部 分 的 对 象 的 创建 。 在 这 个 例子 中 ， 
Summary (总 结 ) 类 型 的 一 个 对 象 被 创建 用 于 封装 总 结 数据 ， 这 些 数据 将 被 上 传 到 一 个 国家 
PRS (病人 记录 系统 ) 中 。 可 以 按照 下 面 的 方式 理解 这 幅 图 。 


医疗 接待 员 PRS 
ja P: P: Patientinfo D: D: Mentcare-DB DB AS: Authorization Authorization + 


login ( ) 
Sm f= owas d safe new sed oe diese see aed we 


[sendInfo] | 


updatelnfo( ) updatePRS (UID } 
authorize (TF, UID) 


authorization 


update (PID) 


[sendSummary] 
UpdateSummary( ) 


| | | | 
图 5-7 传输 数据 的 顺序 图 





| logout () 
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1. 接待 员 登 录 到 PRS E, 

2. 系统 提供 两 个 选项 (如 alt 框 所 示 )。 这 两 个 选项 分 别 是 : 直接 传输 来 自 Mentcare 数 
据 库 的 更 新 后 的 病人 信息 到 PRS 中 ; 传输 来 自 Mentcare 数据 库 的 健康 数据 总 结 到 PRS 中 。 

3. 在 每 个 选项 中 ， 接 待 员 的 访问 许可 都 要 通过 权限 系统 进行 检查 。 

4. 个 人 信息 可 以 直接 从 用 户 界 面 对 象 传输 到 PRS。 而 总 结 记录 则 要 从 数据 库 中 读 取 数 
据 后 创建 ， 然 后 传输 该 记录 。 

5. 传输 完成 后 ，PRS 发 出 一 个 状态 消息 ， 然 后 用 户 登 出 系统 。 

除非 将 顺序 图 用 于 代码 生成 或 详细 的 文档 化 ， 否 则 不 需要 在 这 些 图 中 包含 所 有 交互 。 如 
果 在 开发 过 程 早期 开发 系统 模型 来 支持 需求 工程 和 高 层 设 计 ， 那 么 有 许多 交互 都 取决 于 实现 
决策 。 例 如 ， 在 图 5-7 中 ， 关 于 如 何 获取 用 户 标识 符 以 进行 权限 检查 的 决策 就 可 以 后 面 再 决 
定 。 在 某 个 实现 中 ， 这 一 点 可 能 包含 与 User (用 户 ) 对 象 的 交互 。 由 于 这 一 点 在 当前 阶段 不 
重要 ， 因 此 不 需要 将 其 包含 在 顺序 图 中 。 


5.3 结构 模型 


软件 的 结构 模型 按照 构成 系统 的 构件 以 及 它们 之 间 的 关系 显示 系统 的 组 织 。 结 构 模 型 可 
以 是 描述 系统 设计 组 织 的 静态 模型 ， 也 可 以 是 描述 系统 执行 时 的 组 织 的 动态 模型 。 这 两 种 模型 
是 不 一 样 的 一 一 系统 的 动态 组 织 是 一 组 相互 交互 的 线程 ， 这 与 系统 构件 的 静态 模型 很 不 一 样 。 

可 以 在 讨论 和 设计 系统 体系 结构 时 创建 系统 的 结构 模型 。 这 些 模 型 可 以 是 总 体 的 系统 体 
系 结构 模型 或 者 更 加 详细 的 系统 中 的 对 象 及 其 关系 的 模型 。 

本 章 关注 使 用 类 图 对 软件 系统 中 的 对 象 类 的 静态 结构 进行 建 模 。 体 系 结构 设计 是 软件 工 
程 中 的 一 个 重要 问题 ，UML 构件 图 、 包 图 、 部 署 图 都 可 以 用 于 描述 体系 结构 模型 。 本 书 第 
6 ENB 17 章 将 介绍 体系 结构 建 模 。 


5.3.1 类 图 


当 开发 一 个 面向 对 象 系统 模型 来 显示 系统 中 的 类 以 及 类 之 间 的 关联 时 ， 可 以 使 用 类 图 。 
大 致 上 可 以 将 对 象 类 理解 为 一 类 系统 对 象 的 泛 化 定义 。 关 联 是 类 之 间 的 链接 ， 表 示 这 些 类 之 
间 存 在 某 种 关系 。 因 此 ， 每 个 类 可 能 都 要 具有 与 之 相关 联 的 类 的 一 些 知 识 。 

在 软件 工程 过 程 的 早期 阶段 开发 模型 时 ， 对 象 表示 现实 世界 中 的 一 些 东西 ， 例 如 病人 、 
处 方 、 医 生 。 随 着 软件 实现 被 开发 出 来 ， 要 定义 实现 对 象 来 表示 系统 所 操纵 的 数据 。 本 章 关 
注 作为 需求 或 者 软件 设计 过 程 早期 的 一 部 分 的 现实 世界 对 象 的 建 模 。 相 似 的 方法 也 被 用 于 数 
据 结构 建 模 。 

UML 中 的 类 图 可 以 在 不 同 的 详细 程度 上 表达 。 在 开发 模型 时 ， 第 一 个 阶段 通常 是 看 一 
看 现实 世界 、 识 别 基本 的 对 象 并 将 它们 表示 为 类 。 这 些 图 最 简单 的 描述 方法 是 在 一 个 方 框 中 
写 上 类 名 ， 还 可 以 在 类 之 间 画 一 条 线 来 表示 存在 的 关联 关系 。 例 如 ， 图 5-8 是 一 个 简单 的 类 
图 ， 其 中 显示 了 两 个 类 一 一 Patient (病人 ) 和 Patient Record (病人 记录 )， 以 及 它们 之 间 的 关 
联 关系 。 在 这 个 阶段 ， 不 需要 说 明 这 个 关联 关系 是 什么 。 


i ] ] | Patient 
namie record 


图 5-8 UML 类 和 关联 关系 
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， 图 5-9 进一步 发 展 了 图 5-8 中 的 简单 类 图 ， 以 显示 Patient 类 的 对 象 还 参与 了 一 系列 其 
他 类 之 间 的 关系 。 这 个 例子 中 显示 了 对 于 关联 关系 的 命名 ， 使 读者 可 以 知道 所 存在 的 关系 的 
类 型 。 

图 5-8 和 图 5-9 显示 了 类 图 的 一 个 重要 特性 一 一 显示 有 多 少 对 象 参与 关联 关系 的 能 力 。 
图 5-8 中 关联 关系 的 两 端 都 标注 了 1， 意 味 着 这 些 类 的 对 象 之 间 存 在 一 对 一 的 关系 ， 也 就 是 
说 每 个 病人 有 且 仅 有 一 个 记录 ， 而 每 个 记录 保存 一 个 病人 的 信息 。 

从 图 5-9 中 可 以 看 到 还 有 其 他 关于 重 数 的 表达 。 可 以 精确 定义 参与 关系 的 对 象 的 数量 
(例如 1..4 ), 或 者 使 用 一 个 星 号 (*) 来 表示 参与 关联 关系 的 对 象 数 量 不 确定 。 例 如 ， 图 5-9 
中 Patient (病人 ) 和 Condition (症状 ) 之 间 的 关系 的 重 数 ( 1..*) 表示 一 个 病人 可 能 存在 多 
种 症状 ， 而 同一 个 症状 可 能 与 多 个 病人 相关 。 

在 这 种 详细 程度 上 ， 类 图 看 起 来 像 语义 数据 模型 。 语 义 数据 模型 用 于 数据 库 设 计 中 。 
它们 描述 数据 实体 、 与 它们 相关 的 属性 ， 以 及 这 些 实体 之 间 的 关系 ( Hull and King 1987 ) 。 
UML 没有 针对 数据 库 设计 的 图 类 型 ， 因 为 UML 使 用 对 象 以 及 它们 的 关系 来 进行 数据 建 模 。 
然而 ， 可 以 使 用 UML 来 表示 语义 数据 模型 。 可 以 认为 语义 数据 模型 中 的 实体 是 简化 的 对 象 
类 (它们 没有 操作 )， 属 性 是 对 象 类 的 属性 ， 而 关系 是 对 象 类 之 间 命 名 的 关联 关系 。 

当 显 示 类 之 间 的 关联 关系 时 ， 最 好 以 最 简单 的 不 包含 属性 或 操作 的 方式 来 表示 这 些 
类 。 为 了 更 加 详细 地 定义 对 象 ， 可 以 增加 关于 它们 的 属性 (对 象 的 特征 ) 和 操作 (对象 的 
功能 ) 的 信息 。 例 如 ， 一 个 Patient 对 象 具有 属性 Address (地 址 )， 还 可 以 包含 一 个 名 为 
ChangeAddress 的 操作 ， 在 一 个 病人 表明 他 刚 从 一 个 地 址 搬 到 另 一 个 地 址 时 调用 该 操作 。 

UML 通过 扩展 表示 类 的 简单 矩形 来 显示 属性 和 操作 。 图 5-10 中 描述 了 这 些 ， 其 申 显示 
了 一 个 表示 医生 和 病人 之 间 的 诊疗 的 对 象 。 

1. 对 象 类 的 名 称 在 顶部 。 

2. 类 属性 在 中 间 ， 其 中 包括 属性 名 以 及 可 选 的 属性 类 型 。 图 5-10 中 没有 显示 类 型 。 

3. 与 对 象 类 相关 的 操作 (在 Java 和 其 他 面向 对 象 语 言 中 称 为 “方法 ”) 在 矩形 中 最 底下 
的 部 分 。 图 5-10 中 显示 了 一 部 分 但 不 是 所 有 的 操作 。 

图 5-10 中 所 显示 的 例子 中 ,假设 医生 记录 语音 笔记 ， 这 些 笔记 此 后 会 被 转录 以 记录 诊疗 
的 细节 。 为 了 开 处 方 ， 所 涉及 的 医生 必须 使 用 Prescribe ( 开 处 方 ) 方法 来 生成 一 个 电子 处 方 。 





Consultation 


Consultant 


referred-to 


Doctors 

Date 

Time 

Clinic 

Reason 

Medication prescribed 
Treatment prescribed 
Voice notes 










| 


Transcript 


le” RecordNotes ( ) 


1..4 
o Transcribe ( ) 


Hospital 
Doctor 


图 5-9 Mentcare 系统 中 的 类 和 关联 关系 5-10 —~ Consultation (诊疗 ) 类 
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5.3.2... WE 

124K ( generalization) 是 用 于 管理 复杂 性 的 一 种 日 党 技术 。 我 们 在 日 常生 活 中 并 不 是 从 
经 历 的 所 有 事情 的 详细 特性 中 进行 学 习 的 ， 而 是 学 习 通 用 的 类 (动物 、 汽 车 、 房 屋 等 ) 以 及 
这 些 类 的 特性 。 在 此 基础 上 我 们 通过 对 事物 进行 分 类 来 复 用 这 些 知 识 ， 并 关注 它们 与 它们 所 
属 的 类 之 间 的 差异 。 例 如 ， 松 鼠 和 老鼠 都 是 “中 齿 类 动物 ”类 的 成 员 ， 因 此 共享 嘴 齿 类 动物 
的 特性 。 通 用 的 陈述 适合 所 有 的 类 成 员 ， 例 如 ， 所 有 的 嘴 齿 类 动物 都 有 咏 东 西 的 牙齿 。 

在 建 模 系 统 时 ， 检 查 一 下 系统 中 的 类 ， 看 看 是 否 存在 泛 化 和 创建 类 的 空间 经 常 很 有 用 。 
这 意味 看 通用 的 信息 只 需要 在 一 个 地 方 保存 即 可 。 这 是 一 个 好 的 设计 实践 ， 因 为 这 就 意味 着 
如 果 有 变更 请 求 ， 那 么 不 需要 在 系统 的 所 有 类 里 面 寻 找 可 能 受 变更 影响 的 地 方 。 可 以 在 最 高 
的 泛 化 层次 上 进行 变更 。 在 Java 等 面向 对 象 语言 中 ,， 泛 化 使 用 语言 中 内 置 的 类 继承 的 机 制 

UML 有 一 个 特定 类 型 的 关联 关系 来 表示 沁 化 ， 如 图 5-11 所 示 。 泛 化 表示 为 一 个 癌 上 指 
问 更 泛 化 的 类 的 箭头 。 这 个 例子 表示 全 科 医 师 (General practitioner) 和 医院 医生 ( Hospital 
doctor) 可 以 被 泛 化 为 医生 (Doctor)， 而 医院 医生 包含 3 种 类 型 : 实习 医生 《Trainee 
Doctor)， 这 种 医生 刚 从 医学 院 毕 业 ， 必 须 有 人 指导 ; 注册 医生 (Registered Doctor)， 这 种 医 
生 可 以 作为 顾问 医生 团队 的 一 员 独 立 工 作 ; 顾问 医生 ( Consultant)， 这 种 医生 是 具有 完全 决 
策 责 任 的 高 级 医生 。 

在 泛 化 关系 中 ， 与 更 高 层 的 类 相关 的 属性 和 操作 同样 也 与 较 低 层 的 类 相关 。 较 低层 的 
类 是 从 它们 的 父 类 那里 继承 属性 和 操作 的 子 类 。 这 些 较 低 层 类 可 以 增加 更 加 特定 的 属性 和 
操作 。 

例如 ， 所 有 医生 都 有 姓名 和 电话 号 码 。 所 有 医院 医生 都 有 一 个 员工 编号 并 携带 寻 呼 
机 。 全 科 医 师 没 有 这 些 属性 ， 因 为 他 们 是 独立 工作 的 ， 但 是 他 们 有 个 人 诊所 名 称 和 地 址 。 
图 5-12 显示 了 这 个 泛 化 层次 的 一 部 分 ， 其 中 扩展 了 Doctor 类 的 类 属性 。 与 Doctor 类 相关 的 
操作 是 让 医生 注册 Mentcare 系统 以 及 取消 注册 。 


/\ 
Hospital 
doctor 

/\ 


Name 
Phone # 
Email 


register ( ) 
de-register ( ) 
人 


Hospital doctor 




















General 


practitioner 








General practitioner 











Staff # Practice 
doctor 
图 5-11 一 个 泛 化 层次 图 5-12 增加 了 细节 的 泛 化 层次 
5.3.3 BE 


现实 忆 界 中 的 对 象 经 常 由 不 同 的 部 分 组 成 。 例 如 ， 一 个 课程 的 学 习 包 可 能 包括 一 本 书 、 
PowerPoint、 课 党 测验 、 推 荐 阅读 。 有 了 时候 需要 在 系统 模型 中 描述 这 种 组 成 关系 。UML 为 
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此 提供 了 一 种 类 与 类 之 间 的 特殊 的 关联 关系 类 型 ， 称 为 聚集 (aggregation)， 其 意思 是 一 个 对 
象 (整体 ) 由 其 他 对 象 (部 分 ) 组 成 。 为 了 定义 聚集 ， 在 链接 关 | 
系 中 表示 整体 的 类 那 一 端 加 上 一 个 萎 形 。 

图 5-13 表明 一 个 病人 记录 是 一 个 病人 以 及 不 确定 数量 的 诊 1” 
疗 的 聚集 。 也 就 是 说 ,病人 记录 保存 着 病人 的 个 人 信息 以 及 每 
一 次 医生 对 其 的 诊疗 记录 。 
5.4 行为 模型 

行为 模型 是 关于 系统 在 运行 时 的 动态 行为 的 模型 。 这 种 模型 描述 了 当 系 统 对 来 自 环境 的 
激励 进行 响应 时 发 生 什么 或 者 应 该 发 生 什么 。 激 励 可 以 是 数据 或 事件 。 

1. 系统 必须 处 理 的 数据 产生 了 。 数 据 的 产生 触发 了 相应 的 处 理 过 程 。 

2. 一 个 事件 发 生 了 ， 和 触发 了 系统 处 理 。 事 件 可 以 有 相关 联 的 数据 ， 虽 然 并 非 总 是 如 此 。 

许多 业务 系统 是 主要 由 数据 驱动 的 数据 处 理 系统 。 这 些 系统 由 输入 给 系统 的 数据 来 控 
制 ， 外 部 事件 处 理 相对 较 少 。 它 们 的 处 理 包 括 在 数据 上 的 一 系列 动作 以 及 产生 一 个 输出 。 例 
如 ， 一 个 电话 账 务 系统 会 接收 一 个 客户 所 发 出 的 呼叫 信息 ， 计 算 这 些 呼叫 的 费用 并 为 该 客户 
生成 一 个 账单 。 

与 之 相 比 ， 实 时 系统 通常 都 是 事件 驱动 的 ， 数 据 处 理 比较 少 。 例 如 ， 一 个 固定 电话 交 
换 系 统 通 过 产生 拨号 音 对 “ 听 简 被 激活 ”事件 进行 响应 ， 通 过 记录 电话 号 码 对 听 简 事件 进行 
响应 。 






Patient record 


] * 


Consultation 


图 5-13 ”聚集 关联 















Qama 


数据 流 图 ( Data-flow diagram, DFD) 有 是 一 种 展现 功能 性 视角 的 系统 模型 ， 其 中 每 个 
转换 (transformation) 表示 单个 的 功能 或 过 程 。 数 据 流 图 用 于 描述 数据 流 如 何 从 一 系列 处 
理 步 又 中 流 过 。 例 如 ， 一 个 处 理 步 骤 可 以 是 过 滤 客户 数据 库 中 的 重复 记录 。 数 据 在 每 个 步 
又 上 进行 转换 ， 然 后 移动 到 下 一 个 阶段 。 这 些 处 理 步骤 或 转换 表示 软件 过 程 或 功能 ， 其 中 
数据 流 图 被 用 于 描述 软件 设计 。UML 中 的 活动 图 可 以 用 于 表达 数据 流 图 。 
http://software-engineering-book.com/web/dfds/ 


5.4.1 数据 驱动 的 建 模 


数据 驱动 的 模型 描述 处 理 输入 数据 以 及 生成 相关 的 输出 过 程 中 所 涉及 的 动作 序列 。 这 种 
模型 可 以 在 需求 分 析 过 程 中 使 用 ， 因 为 它们 描述 了 系统 中 端 到 端的 处 理 。 也 就 是 说 ， 这 种 模 
型 描述 了 从 处 理 一 个 初始 的 输入 到 产生 相应 的 输出 (系统 的 响应 ) 的 整个 过 程 中 所 发 生 的 整 
个 动作 序列 。 

数据 驱动 的 模型 是 最 早 使 用 的 图 形 化 软件 模型 之 一 。20 世纪 70 和 年代， 结构 化 设计 方法 
将 数据 流 图 (DFD) 作为 一 种 描述 系统 中 的 处 理 步 又 的 方法 使 用 。 数 据 流 模 型 很 有 用 ， 因 为 
追踪 并 描述 与 特定 过 程 相关 的 数据 是 如 何在 系统 中 流动 的 ， 可 以 有 助 于 分 析 人 员 和 设计 者 理 
解 在 此 过 程 中 做 了 什么 。 数 据 流 图 简单 、 直 观 ， 因 此 对 于 利益 相关 者 而 言 比 其 他 类 型 的 模 
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型 更 容易 理解 。 通 常 都 可 以 向 潜在 的 系统 用 户 解 释 这 些 数据 流 图 ， 从 而 让 他 们 参与 模型 的 
确认 。 

数据 流 图 可 以 用 UML 中 的 活动 图 ( 见 5.1 市) 来 表示 。 图 5-14 是 一 个 简单 的 活动 图 ， 
其 中 描述 了 胰岛 素 泵 软件 中 所 包含 的 处 理 过 程 链 。 从 中 可 以 看 到 表示 为 活动 ( 圆 角 和 矩形 ) 的 
处 理 步骤 以 及 表示 为 对 象 (EJE ) 的 在 步骤 间 流 动 的 数据 。 


Blood sugar Get sensor Sensor Compute Blood sugar 
sensor value data sugar level level 


alculate 
insulin 


delivery 
Control Calculate 
pump pump commands ate requirement 


图 5-14 JR RAIS TAT ARA 


Fy — APH I FR BE PA Ah BB YT A EEH UML 顺序 图 。 此 前 已 经 展示 过 如 何 使 用 顺 
序 图 进行 交互 建 模 ， 但 是 如 果 在 画 顺 序 图 时 消息 都 是 从 左 到 右 发 送 ， 那么 顺序 图 可 以 描述 系 
统 中 顺序 化 的 数据 处 理 。 图 5-15 描述 了 这 一 点 ,使 用 一 个 顺序 模型 描述 订单 处 理 以 及 发 送 
订单 给 供应 商 。 顺 序 模型 强调 系统 中 的 对 象 ， 而 数据 流 图 强调 操作 或 活动 。 在 实践 中 ， 非 专 
家 的 普通 用 户 似 乎 觉得 数据 流 图 更 直观 一 些 ， 而 工程 师 则 倾向 于 使 用 顺序 图 。 


采购 员 供应 商 
Fillin ( ) Validate ( ) 













[validation ok] 


| 
| 
| 
| 
| 
Update (amount) | 
| 





| Save ( ) 
| | | 


图 5-15 订单 处 理 





Send ( ) 


和 和 
| | 
| | 

| 

| 

| 

| 

| 

| 

| 

| 


5.4.2 事件 驱动 的 建 模 


事件 驱动 的 建 模 描 述 一 个 系统 如 何 对 外 部 和 内 部 事件 做 出 啊 应 。 这 种 模型 建立 在 系统 具 
有 有 限 数量 的 状态 以 及 事件 {激励 ) 可 以 导致 状态 间 的 转换 的 假设 基础 上 。 例 如 ， 一 个 阀门 
控制 系统 可 以 在 收 到 操作 人 员 命 令 (激励 ) 时 从 “阀门 开启 ”状态 转移 到 “阀门 关闭 ”状态 。 
这 种 系统 观点 特别 适合 于 实时 系统 。 事 件 驱 动 的 建 模 在 实时 系统 的 设计 和 文档 化 (第 21 章 ) 
中 得 到 了 广泛 使 用 。 

UML 通过 状态 图 ( state diagram) 支持 基于 事件 的 建 模 ， 而 UML 状态 图 是 基于 此 前 提出 
的 状态 图 (state chart) HY (Harel 1987 )。 状 态 图 描述 了 系统 状态 以 及 导致 状态 间 转 换 的 事件 。 
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状态 图 不 会 描述 系统 中 的 数据 流 ， 但 是 可 以 包含 关于 每 个 状态 中 所 执行 的 计算 的 额外 信息 。 

本 书 使 用 一 个 关于 简单 的 微波 炉 控制 软件 的 例子 来 介绍 事件 驱动 的 建 模 〈 见 图 5-16 )。 
真正 的 微波 炉 比 这 个 系统 复杂 得 多 ， 不 过 这 个 简化 的 系统 更 容易 理解 。 这 个 简单 的 微波 炉 
有 : 一 个 选择 全 功率 还 是 半 功 率 的 开关 ， 一 个 输入 加 热 时 间 的 数字 键盘 ， 一 个 局 动 /停止 按 
钮 ， 一 个 字母 数字 显示 舌 。 


Full 
power 







>| do:set power 
= 600 











Timer 
N te 
r umber 
do:display Full /~ Set time N Operation 
time 














power do:operate 


oven 


do: get number 
exit: set time 


Timer 









Door 


Power closed 


Door rg 


open 





Door 
open 







Enabled Waiting 


do: display 
‘Ready’ 


Half power 


do:set power 
=300 


do:display 
time 


Disabled 


do:display 
‘Waiting’ 


图 5-16 一 个 微波 炉 的 状态 图 


这 里 对 使 用 微波 炉 时 的 动作 序列 做 出 以 下 假设 。 

1. 选择 功率 级 别 ( 半 功 率 或 全 功率 ); 

2. 使 用 数字 键盘 输入 加 热 时 间 ;- 

3. 按 启动 键 ， 之 后 食物 按照 指定 的 时 间 进 行 加 热 。 

因为 安全 性 的 原因 ， 微 波 炉 不 应 该 在 门 开 着 的 时 候 进行 加 热 ， 并 且 当 加 热 完 成 时 蜂 吗 条 
响起 。 微 波 炉 有 一 个 简单 的 用 于 显示 各 种 警告 和 报警 消息 的 显示 需 。 

在 UML 状态 图 中 ， 圆 角 和 矩形 表示 系统 状态 。 每 个 状态 可 以 包含 对 在 该 状态 中 所 执行 的 
动作 的 一 个 简要 描述 (在 “do” 之 后 )。 带 标签 的 箭头 表示 驱动 从 一 个 状态 转换 到 另 一 个 状 
态 的 激励 。 可 以 像 在 活动 图 中 一 样 使 用 实心 圆 表 示 开 始 和 终结 状态 。 

从 图 5-16 中 可 以 看 出 ， 系 统 开 始 于 一 个 等 待 ( Waiting) 状态 ， 并 且 首 先 对 全 功率 (Full 
power) 或 半 功 率 (Half power) 按钮 进行 响应 。 用 户 可 以 在 选择 了 其 中 一 个 模式 后 改变 主 
意 ， 再 次 按 下 另 一 个 按钮 。 设 置 时 间 (Set time) 后 ， 如 果 门 是 关 着 的 ， 那 么 启动 按钮 激活 
( Enabled)。 按 下 启动 按钮 启动 微波 炉 运 转 ， 按 照 指定 时 间 进 行 加 热 。 然 后 加 热 过 程 结束 ， 
系统 返回 等 待 状态 。 

基于 状态 的 建 模 的 问题 是 ， 可 能 的 状态 的 数量 会 快速 增长 。 因 此 ， 对 于 大 的 系统 模型 ， 
需要 在 模型 中 隐藏 细节 。 一 种 隐藏 细节 的 方式 是 使 用 “ 父 状 态 ”(superstate) 的 概念 ， 在 其 中 
封装 了 一 些 独 立 的 状态 。 这 种 父 状 态 看 起 来 像 是 高 层 模 型 中 的 单个 状态 ,但 是 可 以 在 为 一 个 
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图 中 展开 以 显示 更 多 的 细节 。 为 了 说 明 这 个 概念 ， 考 虑 图 5-16 中 的 (运转 ) 状态 。 这 是 一 个 
可 以 展开 的 父 状 态 ， 如 图 5-17 所 示 。 

Operation 状态 包含 一 些 子 状态 。 
图 中 表明 运转 开始 于 微波 炉 状 态 检 
# (check status)， 如 果 发 现任 何 问 题 
则 会 发 出 警报 并 且 不 允许 和 运转。 加 热 











Checking 






do:check 
Status 

































时 会 按照 所 指定 的 时 间 运 行 微波 炉 的 Turntable Timeout 
电机 (run generator); 完成 加 热 后 蜂 si i 

We air Mal ce, UNS PE aes Pe at BE HP] RT Alarm ihe = 

开 ? HE 么 系 统 进 人 不 可 用 ( disabled ) do:display 1 for $ secs 


event 
状态 ， 如 图 5-17 Aras. 

系统 状态 模型 提供 了 关于 事件 处 
理 的 概览 ， 但 是 通常 还 要 在 此 基础 上 


Door open | 
扩展 更 详细 的 关于 激励 以 及 系统 状态 


的 描述 。 可 以 使 用 一 个 表格 来 列 出 状 图 5-17 Operation 状态 的 状态 模型 

态 以 及 激励 状态 转换 的 事件 ， 同 时 包 

括 对 每 个 状态 和 事件 的 描述 。 图 5-18 展现 了 对 每 个 状态 以 及 产生 驱动 状态 转换 的 激励 的 表 
格 化 描述 。 


微波 炉 在 等 待 输入 。 显 示 器 显示 当前 时 间 
微波 炉 功率 被 设置 为 300 瓦特 。 显 示 器 显示 “ 半 功 率 ” 
微波 炉 功率 被 设置 为 600 瓦特 。 显 示 器 显示 “全 功率 ” 
rae 按照 用 户 的 输入 值 设置 加 热 时 间 。 显 示 器 显示 所 选择 的 加 热 时 间 并 在 设置 时 
设置 时 间 (Settime) | aa 

间 时 进行 更 新 
微波 炉 运转 出 于 安全 原因 未 激活 。 微 波 炉 内 部 的 灯亮 起 。 显 示 器 显示 “未 就 绪 ” 
微波 炉 运转 被 激活 。 微 波 炉 内 部 的 灯 关闭 。 显 示 器 显示 “准备 加 热 ” 
微波 炉 正 在 运转 。 微 波 炉 内 部 的 灯亮 起 。 显 示 器 显示 计时 器 倒数 计时 。 加 热 
完成 后 ， 峰 鸣 器 响起 5 秒 钟 。 微 波 炉 灯亮 起 。 显 示 器 在 蜂 鸣 器 响 的 过 程 中 显示 
“加 热 完 成 ” 


Cancel 


Disabled 




































fi (Operation) 


e 




















微波 炉 门 开关 没有 关上 
微波 炉 门 开关 关上 了 


图 $-18 微波 炉 的 状态 和 激励 





5.4.3 ”模型 驱动 的 工程 
模型 驱动 的 工程 (Model-Driven Engineering, MDE) 是 一 种 软件 开发 方法 ， 其 中 开 
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发 过 程 的 主要 产 出 物 是 模型 而 不 是 程序 (Brambilla, Cabot, and Wimmer 2012 )。 在 硬件 
/软件 平台 上 运行 的 程序 是 从 模型 自动 生成 的 。 模 型 驱动 的 工程 的 支持 者 坚持 认为 这 一 点 
提高 了 软件 工程 的 抽象 层次 ， 从 而 使 工程 师 不 再 需要 关注 编程 语言 的 细节 或 者 执行 平台 
AA“ o 

模型 驱动 的 工程 是 从 模型 驱动 的 体系 结构 (Model-Driven Architecture, MDA) 基础 上 
发 展 起 来 的 。MDA 是 由 对 象 管理 组 织 ( Object Management Group, OMG) 提出 的 一 种 新 的 
软件 开发 范 型 (Mellor，Scott，and Weise 2004 )。MDA 关注 软件 开发 的 设计 和 实现 阶段 ， 
而 MDE 则 关注 软件 工程 过 程 的 所 有 方面 。 因 此 ， 基 于 模型 的 需求 工程 、 基 于 模型 的 开发 软 
件 过 程 、 基 于 模型 的 测试 等 话题 是 MDE 的 一 部 分 但 在 MDA 中 没有 考虑 。 

MDA 作为 一 种 系统 工程 方法 已 经 被 一 些 大 公司 采用 来 支持 他 们 的 开发 过 程 。 本 章 关注 
将 MDA 用 于 软件 实现 而 不 是 讨论 MDE 中 更 加 全 面 的 方面 。 更 加 全 面 的 模型 驱动 的 工程 推 
广 得 并 不 顺利 ， 很 少 有 公司 在 整个 软件 开发 生命 周期 中 采用 该 方法 。den Haan 在 他 的 博客 中 
对 MDE 为 什么 没有 得 到 广泛 采用 的 原因 进行 了 讨论 (den Haan 2011 )。 


5.5 ”模型 驱动 的 体系 结构 


模型 驱动 的 体系 结构 ( Mellor, Scott, and Weise 2004; Stahl and Voelter 2006 ) 是 一 种 
关注 模型 的 软件 设计 和 实现 方法 ,使 用 了 UML 模型 的 一 个 子 集 来 描述 系统 ， 其 中 会 创建 不 
同 抽象 层次 上 的 模型 。 从 原则 上 讲 ， 在 没有 人 为 干涉 的 情况 下 ， 从 一 个 高 层 的 平台 无 关 模 型 
是 可 以 生成 一 个 可 运行 程序 的 。 

模型 驱动 的 体系 结构 (MDA) 方法 建议 应 当 产 生 以 下 3 种 类 型 的 抽象 系统 模型 。 

1. 计算 无 关 模 型 ( Computation Independent Model, CIM). CIM 对 系统 中 使 用 的 重要 
的 领域 抽象 进行 建 模 ， 因 此 有 时 被 称 为 领域 模型 。 可 以 开发 几 种 不 同 的 CIM， 反映 系统 的 
不 同 视图 。 例 如 ， 可 以 有 一 个 信息 安全 CIM， 明 确 资产 等 重要 的 信息 安全 抽象 ; 以 及 一 个 角 
色 和 一 个 病人 记录 CM, WERA, BI EWR. 

2. 平台 无 关 模 型 (Platform-Independent Model, PIM). PIM 在 不 涉及 实现 的 情况 下 对 
系统 的 运转 进行 建 模 。PIM 通常 使 用 UML 模型 撒 述 ， 显 示 静 态 系统 结构 以 及 系统 如 何 啊 应 
外 部 和 内 部 事件 。 

3. 平台 相关 模型 (Platform-Specific Model, PSM). PSM 是 对 平台 无 关 模 型 转换 后 得 到 
的 ， 对 于 每 个 应 用 平台 都 有 一 个 单独 的 PSM。 原 则 上 讲 ，PSM 可 能 存在 多 个 层次 ， 其 中 每 
个 层次 增加 一 些 平 台 相 关 的 细节 。 因 此 ， 第 一 个 层次 的 PSM 可 以 是 中 间 件 相关 的 但 是 数据 
库 无 关 的 ; 当选 择 了 一 个 特定 的 数据 库 之 后 ， 就 可 以 生成 一 个 数据 库 相 关 的 PSM... 

基于 模型 的 工程 允许 工程 师 在 较 高 的 抽象 层次 上 考虑 系统 ， 不 用 关心 它们 的 实现 细节 。 
这 减少 了 错误 的 可 能 性 ， 加 快 了 设计 和 实现 过 程 ， 同 时 还 可 以 创建 可 复 用 、 平 台 无 关 的 应 用 
模型 。 通 过 使 用 强大 的 工具 ， 可 以 利用 同样 的 模型 为 不 同 的 平台 生成 系统 实现 。 因 此 ， 为 了 
让 系统 适应 一 些 新 的 平台 技术 ， 可 以 为 该 平台 编写 一 个 模型 转换 器 。 有 了 这 种 转换 器 ， 所 有 
平台 无 关 模型 就 可 以 快速 在 新 平台 上 落地 了 。 

MDA 是 建立 在 模型 间 的 转换 可 以 通过 软件 工具 进行 定义 和 自动 化 执行 的 思想 基础 上 
的 ， 如 图 5-19 所 示 。 该 图 还 描述 了 目 动 转换 的 最 终 层 次 ,其 中 对 PSM 进行 了 转换 以 生成 可 
以 在 指定 的 软件 平台 上 运行 的 代码 。 因 此 ， 至 少 在 原则 上 ， 可 执行 软件 可 以 从 一 个 高 层 系统 
模型 生成 。 
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计算 无 关 模型 | 平台 相关 模型 E 可 执行 代码 上 


领域 相关 指南 | T kreii 语言 相关 模式 | 
图 5-19 MDA 转换 


在 实践 中 ， 很 少 能 做 到 完全 自动 化 地 从 模型 转换 到 代码 。 从 高 层 的 CIM 到 PIM 的 转换 
仍然 是 一 个 研究 问题 。 对 于 生产 系统 ， 人 为 干预 (如 图 5-19 中 的 线条 人 形 所 示 ) 通常 都 必 不 
可 少 。 目 动 化 的 模型 转换 的 一 个 特别 困难 的 问题 是 ， 需 要 将 在 不 同 的 CIM 中 使 用 的 概念 链接 
起 来 。 例 如 ， 一 个 信息 安全 CM 中 包含 角色 驱动 访问 控制 的 角色 的 概念 ， 可 能 要 映射 到 医院 
CIM 中 的 工作 人 员 的 概念 上 。 只 有 同时 理解 信息 安全 和 医院 环境 的 人 才 可 以 做 出 这 个 映射 。 

平台 无 关 模 型 向 平台 相关 模型 的 转换 是 一 个 较 简 单 的 技术 问题 。 有 一 些 商 业 化 工具 和 开源 
工具 (Koegel 2012) 可 以 使 用 ， 这 些 工 具 提供 了 从 PIM 到 Java 和 J2EE 等 通用 平台 的 转换 器 。 
这 些 工具 使 用 了 一 个 广泛 的 平台 相关 的 规则 和 模式 库 来 实现 PIM 到 PSM 的 转换 。 系 统 中 的 每 
个 PIM 都 可 能 有 多 个 相应 的 PSM。 如 果 一 个 软件 系统 要 在 不 同 的 平台 (例如 J2EE 和 .NET) 上 
运行 ， 那 么 在 原则 上 只 需要 维护 一 个 PIM。 针 对 每 个 平台 的 PSM 可 以 自动 生成 ( 见 图 5-20 )。 


平台 无 关 模 型 | 


Er 













图 5-20 ”多 个 平台 相关 模型 


虽然 MDA 支持 工具 包括 平台 相关 的 转换 器 ， 这 些 工 具有 时 候 只 能 部 分 支持 PIM 到 
PSM 的 转换 。 系 统 的 执行 环境 不 仅仅 是 J2EE 或 者 Java 等 标准 的 执行 平台 ， 还 可 能 包括 为 
一 个 企业 创建 的 其 他 应 用 系统 和 特定 应 用 库 、 外 部 服务 以 及 用 户 界面 库 。 







可 执行 的 UML 

模型 驱动 的 工程 背后 的 基本 思想 是 ， 完 全 自动 化 地 从 模型 转换 到 代码 应 该 是 可 能 的 。 为 
了 达到 这 个 目标 ， 必 须 能 够 构造 可 以 被 编译 为 可 执行 代码 、 带 有 清晰 定义 的 含义 的 图 形 化 模 
型 。 还 需要 一 种 方法 ， 向 图 形 化 模型 增加 关于 模型 中 所 定义 操作 的 实现 方式 的 信息 。 使 用 
UML 2 的 一 个 称 为 可 执行 的 UML 或 xUML 的 子 集 可 以 实现 这 一 点 (Mellor and Balcer 2002). | 
http://software-engineering-book.com/web/xuml/ 
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每 个 公司 的 系统 执行 环境 都 不 一 样 ， 因 此 是 没有 这 些 成 品 支 持 工 具 的 。 因 此 ， 当 一 个 组 
织 引 入 MDA 时 ， 可 能 要 创建 特定 目的 的 转换 器 以 利用 本 地 环境 中 可 用 的 条 件 。 这 是 为 什么 
许多 公司 不 愿意 在 开发 中 采用 模型 驱动 的 方法 的 原因 之 一 。 他 们 不 想 开 发 或 维护 他 们 自己 的 
工具 ， 更 不 想 依赖 可 能 歇业 的 小 软件 公司 来 进行 工具 开发 。 没 有 这 些 专 业 化 工具 ， 基 于 模型 
的 开发 就 要 求 额外 的 手工 编码 ， 这 一 点 前 弱 了 MDA 方法 的 成 本 效益 性 。 

MDA 之 所 以 没有 成 为 主流 的 软件 开发 方法 还 有 其 他 几 个 原因 ， 

1. 模型 是 一 个 便于 讨论 软件 设计 的 好 的 方法 。 但 是 ， 对 讨论 有 用 的 抽象 对 实现 而 言 并 不 总 
是 正确 的 抽象 。 你 可 能 会 出 于 复 用 成 品 应 用 系统 的 考虑 而 决定 使 用 一 个 完全 不 同 的 实现 方法 . 

2. 对 于 大 多 数 复 杂 系 统 ， 实 现 不 是 主要 的 问题 一 一 需求 工程 、 信 息 安 全 和 可 依赖 性 、 遗 
留 系统 集成 和 测试 都 是 更 重要 的 问题 。 因 此 ,使 用 MDA 的 收益 就 很 有 限 了 。 

3. 追求 平台 无 关 性 只 对 大 型 、 长 生命 周期 的 系统 有 意义 ， 其 中 平台 会 在 系统 生命 周期 
过 程 中 逐渐 变 得 过 时 。 对 于 针对 标准 平台 开发 的 软件 产品 和 信息 系统 (例如 Windows 和 
Linux)， 引 入 MDA 方法 以 及 准备 相关 工具 的 成 本 可 能 会 超出 使 用 MDA 获得 的 收益 。 

4. 在 MDA 方法 发 展 过 程 的 同一 时 期 ， 被 广泛 采用 的 敏捷 方法 成 功 地 将 开发 人 员 的 注意 
力 从 模型 驱动 上 吸引 走 了 。 

MDA 的 成 功 故事 (OMG 2012) 大 多 数 都 来 自 于 开发 系统 产品 的 公司 ， 包 括 便 件 和 软件 。 这 
些 产品 中 的 软件 有 很 长 的 生命 周期 ， 在 此 过 程 中 可 能 要 进行 修改 以 反映 硬件 技术 的 变化 。 应 用 领 
域 (汽车 、 空 中 交通 管制 等 ) 经 常 是 已 经 得 到 了 充分 理解 的 ， 因 此 可 以 被 形式 化 表示 为 一 个 CIM。 

Hutchinson 及 其 同事 (Hutchinson，Rouncefield，and Whittle 2012 ) 报告 了 MDA 在 工业 界 的 
使 用 ， 他 们 的 工作 确认 了 模型 驱动 开发 的 使 用 已 经 在 系统 产品 中 取得 了 成 功 。 他 们 的 评估 表明 
采用 该 方法 的 公司 所 取得 的 结果 各 不 相同 ， 但 是 大 多 数 用 户 都 认为 使 用 MDA 提高 了 生产 率 并 
且 降 低 了 维护 成 本 。 他 们 发 现 MDA 在 推动 复 用 方面 尤其 有 用 ， 而 这 造就 了 主要 的 生产 率 提升 。 

敏捷 方法 和 模型 驱动 的 体系 结构 方法 之 间 的 关系 还 不 是 很 清楚 。 事 先进 行 全 面 的 建 模 的 
思想 与 敏捷 宣言 中 的 基本 思想 相 冲 突 ， 很 少 有 敏捷 开发 者 能 接受 模型 驱动 的 工程 。Ambler， 
敏捷 方法 发 展 中 的 一 个 先驱 ， 提 到 MDA 中 的 一 些 方面 可 以 用 于 敏捷 过 程 (Ambler 2004 ), 
但 是 认为 自动 的 代码 生成 是 不 现实 的 。 然 而 ，Zhang 和 Patel 报告 了 摩托 罗拉 在 使 用 敏捷 方 
法 和 自动 化 的 代码 生成 方面 的 成 功 经 验 (Zhang and Patel 2011 ). 
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e。 一 个 模型 是 一 个 系统 的 抽象 视图 ， 其 中 有 意 忽略 了 一 些 系 统 细节 。 可 以 开发 多 个 互 
补 的 系统 模型 来 表示 系统 的 上 上 下文、 交互 、 结 构 和 行为 。 

e 上 下 文 模型 描述 一 个 所 建 模 的 系统 是 如 何 被 置 于 包含 其 他 系统 和 过 程 的 环境 之 中 ， 

它们 可 以 帮助 定义 符 开 发 系统 的 边界 。 

用 况 图 和 顺序 图 用 于 描述 所 设计 的 系统 中 的 用 户 与 系统 之 间 的 交互 。 用 况 描 述 了 一 

个 系统 与 外 部 参与 者 之 间 的 交互 ; 顺序 图 通过 显示 系统 对 象 之 间 的 交互 向 其 中 增加 

了 更 多 的 信息 。 

o 结构 模型 显示 一 个 系统 的 组 织 和 体系 结构 。 类 图 被 用 于 定义 一 个 系统 中 的 类 的 静态 
结构 以 及 它们 的 关联 关系 。 

© 行为 模型 用 于 描述 一 个 执行 中 的 系统 的 动态 行为 。 这 种 行为 可 以 从 系统 所 处 理 的 数 
据 的 角度 或 者 从 激励 系统 啊 应 的 事件 的 角度 进行 建 模 。 
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e 活动 图 可 以 用 于 建 模 数 据 的 处 理 ， 其 中 每 个 活动 表示 一 个 处 理 步 又。 

© 状态 图 用 于 建 模 系统 在 响应 内 部 或 外 部 事件 过 程 中 的 行为 。 

o 模型 驱动 的 工程 是 一 种 软件 开发 方法 ， 其 中 一 个 系统 被 表示 为 一 组 可 以 被 自动 转换 
为 可 执行 代码 的 模型 。 


阅读 推荐 


任何 关于 UML 的 介绍 性 书籍 都 提供 了 关于 本 章 所 介绍 的 概念 的 更 多 信息 。UML 在 过 去 几 年 
中 只 有 一 些 细微 的 变化 ， 因 此 ， 虽 然 这 些 书 中 的 一 些 内 容 几 乎 是 10 年 前 出 版 的 ， 但 仍然 不 过 时 。 

《 Using UML: Software Engineering with Objects and Components, 2nd ed 》 是 一 本 关于 
UML 在 系统 规格 说 明和 设计 中 的 使 用 的 简短 、 易 读 的 介绍 。 这 本 书 对 于 学 习 和 理解 UML 
相关 的 概念 是 很 好 的 ， 虽 然 与 UML 参考 手册 中 完整 的 UML 描述 相 比 ， 没 有 那么 全 面 。(P. 
Stevens with R. Pooley, Addi-son-Wesley, 2006 ) 

《 Model-driven Software Engineering in Practice 》 是 一 本 全 面 介 绍 模型 驱动 的 方法 的 书 
籍 ， 关 注 模型 驱动 的 设计 和 实现 。 除 了 UML ， 该 书 还 介绍 了 领域 相关 的 建 模 语言 的 发 展 。 
(M. Brambilla, J. Cabot, and M. Wimmer. Morgan Claypool, 2012 ) 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chapS5/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/requirements-and-design/ 


练习 


51 解释 建 模 所 开发 的 系统 的 上 下 文 为 什么 很 重要 。 如 果 软 件 工 程 师 不 理解 系统 上 下 文 可 
能 出 现 一 些 错 误 ， 请 举 出 两 个 例子 。 

52 如何 使 用 一 个 已 经 存在 的 系统 模型 ? 解释 为 什么 这 样 一 个 系统 模型 并 不 一 定 是 完整 和 
正确 的 。 如 果 你 在 开发 一 个 新 系统 的 模型 情况 还 是 这 样 吗 ? 

5.3 ”你 将 参与 开发 一 个 用 来 规划 大 规模 活动 和 聚会 (例如 婚礼 、 毕 业 典 礼 和 生日 聚会 ) 的 系 
统 。 使 用 一 个 活动 图 为 这 个 系统 进行 过 程 上 下 文 的 建 模 ， 显 示 规划 一 个 聚会 所 涉及 的 
活动 (例如 预订 场地 、 安 排 邀 请 等 ) 以 及 每 个 阶段 会 用 到 的 系统 元 素 。 

5.4 针对 Mentcare 系统 ， 提 出 一 组 用 况 来 描述 一 个 给 病人 看 病 并 开 药 方 和 治疗 处 方 的 医生 
和 Mentcare 系统 之 间 的 交互 。 

55 ”开发 一 个 顺序 图 来 描述 一 所 大 学 中 的 一 个 学 生 注册 一 门 课程 时 所 涉及 的 交互 。 课 程 可 
能 有 人 数 限制 ， 因 此 注册 过 程 必 须 包 含 针 对 是 否 还 有 空位 的 检查 。 假 设 学 生 通过 访问 
一 个 电子 诬 程 目录 来 找 出 可 选 的 课程 。 

5.6 ”仔细 观察 你 所 使 用 的 电子 邮件 系统 中 消息 和 邮箱 是 如 何 表 示 的 。 建 模 为 了 表示 邮箱 和 
电子 邮件 消息 而 需要 在 系统 实现 中 使 用 的 对 象 类 。 

5.7 基于 你 对 于 银行 ATM 机 的 经 验 ， 男 一 个 活动 图 来 建 模 当 一 个 客户 从 机 器 中 提取 现金 时 
所 涉及 的 数据 处 理 。 

5.8 ”为 同一 个 系统 画 一 个 顺序 图 。 解 释 你 在 建 模 系 统 行为 时 为 什么 要 同时 开发 活动 图 和 顺 
FEL 

5.9 ”针对 以 下 控制 软件 开发 状态 图 : 
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5.10 


e 针对 不 同类 型 的 衣物 有 不 同 洗 涤 程 序 的 自动 洗衣 机 ; 
e 一 个 DVD 播放 器 的 软件 ; 

© 手机 上 的 摄像 头 的 控制 软件 (忽略 闪光灯 )。 

你 是 一 个 软件 工程 经 理 ， 你 的 团队 中 的 一 个 资深 成 员 提 出 应 当 使 用 模型 驱动 的 工程 来 
开发 一 个 新 系统 。 你 在 决定 是 否 应 该 将 该 方法 引入 软件 开发 中 时 要 考虑 哪些 因素 ? 
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目标 

本 章 的 目标 是 介绍 软件 体系 结构 和 体系 结构 设计 的 概念 。 阅 读 完 本 章 后 ， 你 将 ， 

。 理 解 为 什么 软件 的 体系 结构 设计 很 重要 ; 

。 理 解 在 体系 结构 设计 过 程 中 必须 做 出 的 关于 软件 体系 结构 的 决策 ; 

。 了 解体 系 结构 模式 的 思想 ， 这 是 一 种 经 过 实践 验证 、 可 以 在 系统 设计 中 复 用 的 软件 

体系 结构 的 组 织 方式 ; 

。 理 解 为 什么 应 用 特定 的 体系 结构 模式 可 以 被 用 于 事务 处 理 和 语言 处 理 系统 。 

体系 结构 设计 关注 理解 一 个 软件 系统 应 当 如 何 组 织 ， 以 及 设计 该 系统 的 整体 结构 。 在 第 
2 章 所 介绍 的 软件 开发 过 程 中 ， 体 系 结构 设计 是 软件 设计 过 程 的 第 一 个 阶段 。 体 系 结构 设计 
是 设计 和 需求 工程 之 间 的 关键 性 衔接 环节 ， 因 为 它 会 确定 组 成 一 个 系统 的 主要 结构 构件 以 及 
它们 之 间 的 关系 。 体 系 结构 设计 过 程 的 输出 是 一 个 体系 结构 模型 ， 该 模型 描述 系统 如 何 被 组 
织 为 一 组 相互 通信 的 构件 。 

在 敏捷 过 程 中 ， 得 到 广泛 认同 的 一 点 是 ， 一 个 敏捷 开发 过 程 的 早期 阶段 应 该 关注 设计 一 
个 整体 的 系统 体系 结构 。 体 系 结构 的 增 量 开发 通常 都 不 会 成 功 。 根 据 变化 重 构 构件 通常 相对 
容易 。 然 而 ， 重 构 系统 体系 结构 却 很 昂贵 ， 因 为 可 能 需要 修改 大 部 分 系统 构件 以 使 它们 能 名 
适应 体系 结构 的 变化 。 

为 了 帮助 读者 理解 系统 体系 结构 是 什么 意思 ， 可 以 参考 图 6-1。 图 6-1 显示 了 一 个 打包 
负 器 人 系统 的 体系 结构 的 抽象 模型 。 这 个 机 器 人 系统 可 以 对 不 同类 型 的 物品 进行 打包 。 它 使 
用 一 个 视觉 构件 来 挑选 传送 带 上 的 物 
品 ， 识 别 物品 类 型 ， 并 且 选 择 正确 的 打 
包 方式 。 接 着 ， 该 系统 将 物品 从 传送 带 
上 取 下 来 进行 打包 ， 然 后 将 打 好 包 的 物 
品 放 在 另 一 个 传送 带 上 。 这 个 体系 结构 
模型 显示 了 这 些 构件 以 及 它们 之 问 的 连 
EKA. 

在 实践 中 ， 和 需求 工程 过 程 和 体系 
结构 设计 过 程 之 间 存在 显著 的 重 状 。 更 
想 情况 下 ， 系 统 规格 说 明 不 应 当 包 含 作 
何 设计 信息 。 然 而 ， 这 个 设想 是 不 现实 bere mmp 
的 ， 除 非 面向 的 是 非常 小 的 系统 。 需 要 adhe ieia 
识别 出 主要 的 体系 结构 构件 ， 因 为 这 些 | nam E 
构件 反映 了 系统 的 高 层 特征 。 困 此， 作 TRY 


为 需求 工程 过 程 的 一 部 分 ， 要 提出 一 个 图 6-1 打包 机 器 人 控制 系统 的 体系 结构 






物品 
识别 系统 | 






抓 手 控制 器 | 





Saweg 
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抽象 的 系统 体系 结构 ， 其 中 将 一 组 组 的 系统 功能 或 特征 与 大 规模 的 构件 或 子 系统 关联 起 来 。 
接 下 来 ， 要 使 用 这 一 分 解 结构 来 与 利益 相关 者 讨论 需求 以 及 更 加 详细 的 系统 特征 。 

可 以 在 两 个 抽象 层次 上 设计 软件 体系 结构 ， 本 书 将 它们 分 别称 为 小 体系 结构 和 大 体系 
结构 。 

1. 小 体系 结构 关注 单个 程序 的 体系 结构 。 在 这 个 层次 上 ， 我 们 关注 单个 的 程序 是 如 何 被 
分 解 为 构件 的 。 本 章 主 要 关注 程序 体系 结构 。 

2. 大 体系 结构 关注 包括 其 他 系统 、 程 序 和 程序 构件 的 复杂 企业 系统 体系 结构 。 这 些 企业 
系统 可 以 分 布 在 不 同 的 计算 机 上 ， 这 些 计算 机 可 以 由 不 同 的 公司 拥有 和 管理 。 第 17 和 18 章 
将 会 介绍 这 种 大 体系 结构 。 

软件 体系 结构 很 重要 ， 因 为 它 会 影响 一 个 系统 的 性 能 、 健 壮 性 、 分 布 性 和 可 维护 性 
(Bosch 2000 )。 正 如 Bosch 所 说 ， 单 个 构件 实现 了 功能 性 的 系统 需求 ， 但 是 对 于 非 功能 性 
系统 特性 的 主导 影响 因素 是 系统 的 体系 结构 。Chen 等 人 (Chen, Ali Babar, and Nuseibeh 
2013) 在 一 个 名 为 “对 体系 结构 有 显著 影响 的 需求 ”的 研究 中 确认 了 这 一 点 ， 他 们 发 现 非 功 
能 性 需求 对 于 系统 体系 结构 的 影响 最 大 。 

Bass 等 人 ( Bass, Clements, and Kazman 2012 ) 认为 明确 地 设计 并 描述 软件 体系 结构 
有 以 下 3 个 好 处 。 

1. 利益 相关 者 交流 。 体系 结构 是 一 种 可 以 作为 许多 不 同 利益 相关 者 讨论 的 焦点 的 系统 的 
高 层 表示 。 

2. 系统 分 析 。 在 系统 开发 的 早期 阶段 明确 系统 的 体系 结构 要 求 进行 一 些 分 析 。 体 系 结构 
设计 决策 对 于 系统 是 否 能 够 满足 性 能 、 可 靠 性 、 可 维护 性 等 关键 需求 具有 深远 的 影响 。 

3. 大 范围 复 用 。 体 系 结构 模型 是 关于 系统 如 何 组 织 以 及 构件 如 何 互 操作 的 一 个 紧凑 、 可 
管理 的 描述 。 具 有 相似 需求 的 系统 经 常 具 有 相同 的 系统 体系 结构 ， 因 此 可 以 支持 大 范围 的 软 
件 复 用 。 

如 第 15 章 所 述 ， 产 品 线 体 系 结构 是 一 种 复 用 方法 ， 其 中 同一 个 体系 结构 在 一 系列 相关 
的 系统 中 得 到 复 用 。 

系统 体系 结构 经 常 使 用 简单 的 框图 进行 非 正 式 的 建 模 ， 如 图 6-1 所 示 。 图 中 每 一 个 方 
框 表 示 一 个 构件 。 方 框 中 的 方 框 表示 该 构件 被 分 解 为 子 构件 。 箭 头 表 示 数 据 和 控制 信号 按 
照 衔 头 的 方 回 从 一 个 构件 传 到 另 一 个 构件 。 读 者 可 以 在 Booch 的 软件 体系 结构 手册 (Booch 
2014 ) 中 看 到 许多 这 种 类 型 的 体系 结构 的 例子 。 

框图 呈现 了 一 种 系统 结构 的 高 层 样 狐 ， 来 自 不 同 领域 参与 系统 开发 过 程 的 人 都 可 以 很 
容易 地 理解 这 种 图 。 尽 管 非 正 式 的 框图 得 到 了 广泛 使 用 ，Bass 等 人 (Bass，Clements，and 
Kazman 2012 ) 却 不 喜欢 用 这 种 图 来 描述 体系 结构 。 他 们 认为 这 些 非 正 式 的 图 是 糟糕 的 体系 
结构 表示 ， 因 为 它们 既 没 有 显示 系统 构件 之 间 关 系 的 类 型 也 没有 显示 构件 的 外 部 可 见 属性 。 

显然 ， 这 里 反映 了 体系 结构 理论 和 工业 实践 之 间 的 矛盾 ， 因 为 程序 的 体系 结构 模型 有 如 
下 两 种 不 同 的 使 用 方式 。 

1. 作为 一 种 鼓励 对 系统 设计 进行 讨论 的 方式 。 一 个 系统 的 高 层 体 系 结构 视图 对 于 与 系统 
利益 相关 者 进行 交流 以 及 项 目 计划 都 很 有 用 ， 因 为 它 没有 被 过 多 的 细节 和 弄 得 难以 理解 。 利 益 
相关 者 可 以 接受 这 种 表示 并 理解 系统 的 抽象 视图 。 接 下 来 他 们 可 以 将 系统 作为 一 个 整体 进行 
讨论 ， 而 不 用 被 过 多 的 细节 所 困扰 。 体 系 结构 模型 识别 出 了 要 开发 的 关键 构件 ， 从 而 使 管理 
者 可 以 开始 分 配 人 员 以 规划 这 些 系统 的 开发 。 
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2. 作为 一 种 文档 化 已 经 设计 好 的 体系 结构 的 方式 。 这 里 的 目的 是 产生 一 个 显示 系统 中 不 
同 的 构件 、 它 们 的 接口 以 及 连接 关系 的 完整 的 系统 模型 。 文 持 这 种 模型 的 观点 认为 ， 这 样 一 
种 详细 的 体系 结构 描述 使 得 对 系统 的 理解 和 演化 可 以 更 容易 。 

框图 是 一 种 很 好 的 支持 参与 软件 设计 过 程 的 人 之 间 进 行 交流 的 方式 。 框 图 很 直观 ， 领 域 
专家 和 软件 工程 师 都 可 以 理解 并 参与 关于 系统 的 讨论 。 管 理 人 员 发 现 框 图 对 于 项 目 计划 很 有 
帮助 。 对 于 很 多 项 目 ， 框 图 是 唯一 的 体系 结构 描述 。 

理想 情况 下 ， 如 果 要 详细 描述 一 个 系统 的 体系 结构 ， 最 好 能 使 用 一 种 更 严格 的 软件 体系 
结构 描述 的 表示 法 。 为 此 已 经 提出 了 一 系列 不 同 的 体系 结构 描述 语言 (Bass，Clements，and 
Kazman 2012 ) 。 一 个 更 加 详细 和 完整 的 描述 意味 着 对 体系 结构 构件 之 间 关 系 误解 的 可 能 性 
会 降低 。 然 而 ， 开 发 一 个 详细 的 体系 结构 描述 是 昂 贯 而 耗 时 的 。 在 实践 中 无 法 得 知 这 样 做 在 
成 本 效益 上 是 否 合算 ， 因 此 这 种 方法 没有 得 到 广泛 使 用 。 


6.1 体系 结构 设计 决策 


体系 结构 设计 是 一 个 创造 性 的 过 程 ， 在 这 个 过 程 中 你 会 设计 一 个 满足 系统 功能 性 和 非 功 
能 性 需求 的 系统 组 织 结 构 。 并 不 存在 公式 化 的 体系 结构 设计 过 程 。 具 体 的 体系 结构 设计 过 程 
取决 于 所 开发 的 系统 的 类 型 、 系 统 架 构 师 的 背景 和 经 验 ， 以 及 系统 的 特定 需求 。 因 此 ， 最 好 
是 将 体系 结构 设计 作为 一 系列 要 做 出 的 决策 而 不 是 一 个 活动 序列 来 考虑 。 

在 体系 结构 设计 过 程 中 ， 系 统 架 构 师 必须 做 出 一 系列 深刻 影响 系统 及 其 开发 过 程 的 结构 
决策 。 基 于 他 们 的 知识 和 经 验 ， 他 们 必须 考虑 图 6-2 中 所 显示 的 这 些 基本 问题 。 


系统 将 如 何 分 布 到 各 个 硬 可 以 使 用 什么 体系 结构 模 
件 核 或 者 处 理 器 上 ? 式 或 风格 ? 

用 来 组 织 系统 的 基本 方法 用 什么 样 的 策略 来 控制 系 
是 什么 ? 统 中 的 构件 的 运行 ? 


什么 样 的 体系 结构 组 织 是 
实现 系统 的 非 功 能 性 需求 
的 最 佳 选 择 ? 


是 否 存在 一 个 通用 的 应 用 


体系 结构 可 以 用 作 所 设计 
的 系统 的 模板 ? 










系统 的 体系 结构 应 当 如 何 
文档 化 ? 


系统 中 的 结构 构件 将 如 何 


分 解 为 子 构件 ? 





图 6-2 体系 结构 设计 决策 


虽然 每 个 软件 系统 都 是 独特 的 ， 但 是 同一 个 应 用 领域 中 的 系统 经 常 具 有 相似 的 、 反 映 领 
域 的 基本 概念 的 体系 结构 。 例 如 ， 应 用 产品 线 是 基于 一 个 核心 体系 结构 构建 的 应 用 ， 这 种 核 
心 体系 结构 具有 满足 特定 客户 需求 的 变 体 。 当 设计 一 个 系统 体系 结构 时 ， 你 必须 确定 你 的 系 
统 和 更 广阔 的 应 用 类 型 有 什么 共性 ， 确 定 来 自 这 些 应 用 体系 结构 中 的 知识 有 多 少 可 以 复 用 。 

对 于 艇 入 式 系 统 以 及 针对 个 人 电脑 和 移动 设备 设计 的 应 用 ， 不 需要 为 系统 设计 一 个 分 布 
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式 体 系 结构 。 然 而 ， 大 多 数 大 型 系统 是 分 布 式 系统 ， 其 中 系统 软件 分 布 在 许多 不 同 的 计算 机 
上 。 分 布 式 体系 结构 的 选择 是 一 个 影响 系统 性 能 和 可 靠 性 的 关键 决策 。 这 一 点 将 在 是 第 17 
章 中 重点 介绍 。 

一 个 软件 系统 的 体系 结构 可 以 基于 特定 的 体系 结构 模式 或 风格 (这 些 术语 现在 的 意思 差 
不 多 )。 一 个 体系 结构 模式 是 一 种 系统 组 织 方式 的 描述 (Garlan and Shaw 1993 )， 例 如 ， 客 
户 端 /服务 器 组 织 或 者 层次 化 体系 结构 。 体 系 结构 模式 捕捉 了 一 个 在 不 同 的 软件 系统 中 使 用 
的 体系 结构 的 本 质 特性 。 在 进行 系统 体系 结构 决策 时 应 当 了 解 通 用 的 模式 、 这 些 模式 的 适用 
场合 、 它 们 的 优势 和 弱点 。6.3 节 介绍 了 几 个 经 常 使 用 的 模式 。 

Garlan 和 Shaw 关于 体系 结构 风格 的 思想 覆盖 了 图 6-2 中 所 显示 的 体系 结构 基本 问题 列 
表 中 的 问题 4 ~ 问题 6。 必须 选择 可 以 满足 系统 需求 的 最 合适 的 结构 ， 例 如 ， 客 户 端 /服务 
器 或 者 层次 结构 。 为 了 分 解 结构 化 系统 单元 ， 要 确定 一 种 策略 用 于 将 构件 分 解 为 子 构 件 。 最 
终 ， 在 控制 建 模 过 程 中 ， 开 发 一 个 系统 不 同 部 分 之 间 的 总 的 控制 关系 模型 ， 并 做 出 关于 构件 
执行 如 何 控制 的 决策 。 

由 于 非 功能 性 系统 特性 和 软件 体系 结构 的 密切 关系 、 体 系 结构 风格 和 结构 的 选择 应 当 根 
据 系 统 的 非 功 能 性 需求 来 决定 。 

1. 性 能 。 如 果 性 能 是 一 个 关键 性 需求 ， 那 么 体系 结构 设计 应 当 将 关键 性 操作 局 部 化 到 少 
量 的 构件 中 ， 尽 量 让 这 些 构 件 部 署 在 同一 台 计 算 机 上 而 不 要 分 布 在 网 络 上 。 这 可 能 意味 着 使 
用 一 些 相 对 较 大 的 构件 而 不 是 小 的 更 细 粒 度 的 构件 。 使 用 大 构件 减少 了 构件 间 的 通信 量 ， 因 
为 相关 的 系统 特征 之 间 的 大 多 数 交 互 都 发 生 在 一 个 构件 之 内 。 还 可 以 考虑 在 运行 时 系统 组 织 
中 人 允许 系统 的 多 副本 部 署 以 及 在 不 同 的 处 理 器 上 执行 。 

2. 信息 安全 。 如 果 信 息 安 全 是 一 个 关键 性 需求 ， 那 么 应 该 使 用 一 种 层次 化 的 体系 结构 组 
织 ， 把 最 关键 的 资产 放 在 最 内 层 进行 保护 ， 并 对 这 些 层 应 用 高 级 的 信息 安全 确认 。 

3. 安全 性 。 如 果 安 全 性 是 一 个 关键 性 需求 ， 那 么 体系 结构 设计 应 该 让 安全 性 相关 的 操作 
集中 在 单个 构件 或 少量 构件 中 。 这 样 可 以 减少 安全 性 确认 的 成 本 和 问题 ， 并 且 可 以 使 得 提供 
相关 的 保护 系统 成 为 可 能 ， 这 些 保护 系统 可 以 在 失效 发 生 时 安全 地 关闭 系统 。 

4. 可 用 性 。 如 果 可 用 性 是 一 个 关键 性 需求 ， 那 么 体系 结构 设计 应 该 包含 元 余 的 构件 以 便 
在 不 停止 系统 的 情况 下 可 以 更 换 或 更 新 构件 。 第 11 章 将 会 介绍 面向 高 可 用 性 系统 的 容错 系 
统 体系 结构 。 

5. 可 维护 性 。 如 果 可 维护 性 是 一 个 关键 性 需求 ， 那 么 系统 体系 结构 设计 应 当 使 用 容易 改 
变 的 细 粒 度 、 自 包含 的 构件 。 应 当 将 数据 的 生产 者 与 数据 的 消费 者 相 分 离 ， 同 时 应 当 避 免 共 
享 的 数据 结构 。 

显然 ， 上 面 这 些 体系 结构 之 间 存 在 潜在 的 冲突 。 例 如 ,使 用 大 型 构件 改进 性 能 ， 与 使 用 
小 的 细 粒 度 构 件 改进 可 维护 性 之 间 是 矛盾 的 。 但 是 ， 如 果 性 能 和 可 维护 性 都 是 重要 的 系统 需 
求 ， 那 么 必须 要 进行 权衡 折 中 。 有 时 候 可 以 通过 在 系统 的 不 同 部 分 使 用 不 同 的 体系 结构 模式 
或 风格 来 实现 权衡 。 信 息 安全 现在 几乎 总 是 一 个 关键 性 需求 ， 必 须 设计 一 个 能 够 保证 信息 安 
全 同时 也 能 满足 其 他 非 功 能 性 需求 的 体系 结构 。 

评价 一 个 体系 结构 设计 很 难 ， 因 为 真正 的 体系 结构 评判 标准 是 ， 系 统 在 使 用 时 能 够 在 多 
大 程度 上 满足 它 的 功能 性 和 非 功能 性 需求 。 然 而 ， 可 以 通过 将 设计 与 参考 体系 结构 或 通用 体 
系 结构 模式 相 比 较 来 进行 评价 。Bosch 关于 一 些 体系 结构 模式 的 非 功 能 性 特性 的 描述 (Bosch 
2000 ) 可 以 帮助 进行 体系 结构 评价 。 
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6.2 体系 结构 视图 


本 章 的 导言 中 提 到 一 个 软件 系统 的 体系 结构 模型 可 以 使 与 软件 需求 或 设计 相关 的 讨论 更 
加 聚焦 。 此 外 ,体系 结构 模型 也 可 以 用 于 设计 的 文档 化 ， 这 样 ， 体 系 结构 可 以 作为 更 加 详细 
的 系统 设计 以 及 实现 的 基础 。 这 一 部 分 将 讨论 以 下 两 个 与 二 者 都 相关 的 问题 : 

1. 在 设计 和 描述 一 个 系统 的 体系 结构 时 ， 哪 些 视图 或 视角 是 有 用 的 ? 

2. 应 当 使 用 哪些 表示 法 来 描述 体系 结构 模型 ? 

在 单个 图 中 表示 出 与 一 个 系统 的 体系 结构 相关 的 所 有 信息 是 不 可 能 的 ， 因 为 一 个 图 形 
化 模型 只 能 显示 一 个 系统 视图 或 视角 。 它 可 以 显示 系统 如 何 分 解 为 模块 、 运 行 时 进程 如 何 交 
H, 或 者 系统 构件 在 一 个 网 络 上 的 不 同 分 布 方式 。 因 为 所 有 这 些 视图 在 不 同时 候 对 设计 和 文 
档 化 都 是 有 用 的 ， 你 通常 都 需要 从 多 个 不 同 的 视图 来 呈现 软件 体系 结构 。 

关于 需要 哪些 体系 结构 视图 有 不 同 的 观点 。Krutchen (Krutchen 1995 ) 在 他 的 著名 的 
“4+1” 软 件 体系 结构 视图 模型 中 提出 应 当 有 4 个 
基本 的 体系 结构 视图 ， 这 些 视图 可 以 通过 共同 的 
用 况 或 场景 连接 在 一 起 ( 见 图 6-3 )。 他 建议 了 如 
下 这 几 个 视图 。 逻辑 视图 

1. 逻辑 视图 。 这 个 视图 将 系统 中 的 关键 抽象 
显示 为 对 象 或 对 象 类 。 应 该 可 以 将 系统 需求 与 这 
个 逻辑 视图 中 的 实体 联系 起 来 。 部 署 视图 

2. 进程 视图 。 这 个 视图 显示 系统 在 运行 时 如 
何 通 过 相互 交互 的 进程 来 构成 。 该 视图 对 于 做 出 
关于 非 功 能 性 系统 特性 (例如 性 能 、 可 用 性 ) 的 
判断 很 有 用 。 

3. 开发 视图 。 这 个 视图 显示 软件 如 何 面向 开发 任务 进行 分 解 ; 也 就 是 说 ， 该 视图 显示 了 
软件 如 何 分 解 为 由 单个 开发 者 或 开发 团队 实现 的 构件 。 该 视图 对 于 软件 开发 管理 者 和 程序 员 
都 很 有 用 。 

4. 物理 视图 。 这 个 视图 显示 系统 硬件 以 及 软件 构件 如 何 分 布 在 系统 中 的 处 理 需 上 。 该 视 
图 对 于 规划 系统 部 署 方案 的 系统 工程 师 很 有 用 。 

Hofmeister 等 人 (Hofmeister, Nord, and Soni 2000) 提出 使 用 相似 的 视图 ， 但 向 其 中 
增加 了 一 个 概念 视图 。 这 个 视图 是 一 种 系统 的 抽象 视图 ， 可 以 作为 将 高 层 需求 分 解 为 更 详细 
的 规格 说 明 的 基础 ， 帮 助 工程 师 确定 可 以 复 用 的 构件 ， 以 及 表示 一 个 产品 线 (在 第 15 章 中 
介绍 ) 而 不 是 单个 系统 。 图 6-1 描述 了 一 个 打包 机 器 人 的 体系 结构 ， 可 以 作为 一 个 概念 系统 
视图 的 例子 。 

在 实践 中 ， 一 个 系统 体系 结构 的 概念 视图 几乎 总 是 在 设计 过 程 中 开发 。 这 些 概念 视图 用 
于 向 利益 相关 者 解释 系统 体系 结构 以 及 告知 体系 结构 设计 决策 。 在 设计 过 程 中 ， 其 他 一 些 视 
图 也 可 以 在 讨论 系统 的 不 同方 面 的 时 候 进行 开发 ， 但 是 一 般 都 不 需要 从 所 有 的 视角 出 发 开发 
一 个 完整 的 描述 。 将 体系 结构 模式 (在 下 一 节 中 介绍 ) 与 一 个 系统 的 不 同 视图 相关 联 也 是 可 
能 的 。 

关于 软件 架构 师 是 否 应 该 使 用 UML 来 描述 和 文档 化 软件 体系 结构 存在 不 同 的 观点 。 
2006 年 的 一 个 调研 (Lange, Chaudron, and Muskens 2006 ) 表明 ， 当 使 用 UML 时 ,通常 
都 是 以 一 种 非 正 式 的 方式 进行 应 用 的 。 该 论文 的 作者 认为 这 不 是 一 件 好 事 。 






物理 视图 


系统 体系 结构 


进程 视图 


图 6-3 体系 结构 视图 
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这 一 观点 不 一 定 正确 。UML 被 设计 用 于 摘 述 面向 对 象 系统 ， 而 在 体系 结构 设计 阶段 经 常 要 在 
一 个 更 高 的 抽象 层次 上 描述 系统 。 对 象 类 过 于 接近 实现 ， 因 此 对 于 体系 结构 描述 用 处 不 大 。UML 
在 设计 过 程 中 不 一 定 很 有 用 ， 可 以 更 快 编写 、 更 快 在 白板 上 画 出 来 的 非 正 式 的 表示 法 可 能 更 好 。 
UML 在 详细 地 文档 化 一 个 体系 结构 或 者 使 用 模型 驱动 的 开发 (如 第 5 章 中 的 介绍 ) 时 最 有 价值 。 

一 些 研究 者 ( Bass，Clements，and Kazman 2012) 提出 ， 使 用 更 加 专业 化 的 体系 结构 
描述 语言 ( Architectural Description Language, ADL) 来 描述 系统 体系 结构 。 体 系 结构 描述 
语言 的 基本 元 素 是 构件 和 连接 器 ， 并 且 包 含 面向 结构 良好 的 体系 结构 的 规则 和 指南 。 然 而 ， 
由 于 体系 结构 描述 语言 是 专家 语言 ， 领 域 和 应 用 专家 感觉 很 难 理解 和 使 用 体系 结构 摘 述 语 
言 。 作 为 模型 驱动 开发 的 一 部 分 使 用 特定 领域 的 体系 结构 描述 语言 可 能 有 一 些 价值 ， 但 它们 
很 可 能 不 会 成 为 主流 软件 工程 实践 的 一 部 分 。 非 正式 的 模型 和 表示 法 (例如 UML) 依旧 是 
最 常 使 用 的 系统 体系 结构 描述 方式 。 

敏捷 方法 的 使 用 者 认为 详细 的 设计 文档 通常 都 是 没 用 的 。 因 此 ， 开 发 这 种 文档 是 沪 费 时 
间 。 这 一 观点 基本 正确 。 除 非 是 关键 性 系统 ， 否 则 从 Krutchen 的 4 个 体系 结构 视图 出 发 开 
发 一 个 详细 的 体系 结构 描述 都 是 不 值得 的 。 应 该 开发 的 是 对 于 交流 有 用 的 视图 ， 而 不 要 担心 
体系 结构 文档 是 否 完 整 。 


6.3 体系 结构 模式 


将 模式 作为 一 种 表示 、 分 享 、 复 用 软件 系统 相关 知识 的 思想 已 经 在 软件 工程 中 的 一 系 
列 领域 中 得 到 了 采用 。 激 发 这 一 思想 的 是 一 本 关于 面向 对 象 设计 模式 的 书籍 ( Gamma et 
al. 1995 ) 。 这 也 带动 了 其 他 类 型 的 模式 的 发 展 ， 例 如 组 织 设计 模式 (Coplien and Harrison 
2004 )、 可 用 性 模式 ( Usability Group 1998 )、 协 作 性 交互 模式 ( Martin and Sommerville 
2004 ) 以 及 配置 管理 模式 (Berczuk and Appleton 2002 ) 。 

体系 结构 模式 是 在 20 世纪 90 年 代 提 出 的 ， 最 初 被 称 为 “体系 结构 风格 ”( Shaw and 
Garlan 1996 )。 一 个 非常 详细 厚 达 五 卷 的 关于 面向 模式 的 软件 体系 结构 的 系列 手册 在 1996 一 
2007 年 出 版 ( Buschmann et al. 1996; Schmidt et al. 2000; Buschmann, Henney, and Schmidt 
2007a, 2007b; Kircher and Jain 2004) . 

这 一 部 分 将 介绍 体系 结构 模式 并 简要 描述 一 些 广泛 使 用 的 体系 结构 模式 。 模 式 可 以 使 用 
标准 的 方式 进行 描述 (图 6-4 和 图 6-5 )， 其 中 混合 使 用 了 撤 述 性 的 描述 和 图 。 如 果 想 获得 关 
于 模式 及 其 使 用 的 更 多 详细 信息 ， 请 参考 已 出 版 的 模式 手册 。 


将 呈现 和 交互 从 系统 数据 中 分 离 出 来 。 系 统 被 组 织 为 3 个 相互 交互 的 逻辑 构件 。 模 
型 (Model) 构件 管理 系统 数据 以 及 相关 的 对 这 些 数据 的 操作 。 视 图 ( View) 构件 定义 
并 管理 数据 呈现 给 用 户 的 方式 。 控 制 器 ( Controller) 构件 管理 用 户 界面 (例如 按键 、 
鼠标 点 击 等 ) 并 将 这 些 交 互 传递 给 视图 和 模型 。 见 图 6-5 
图 6-6 显示 了 一 个 使 用 MVC 模式 进行 组 织 的 基于 Web 的 应 用 系统 的 体系 结构 
当 存 在 多 种 查看 数据 以 及 与 数据 交互 的 方式 时 使 用 。 也 可 以 在 未 来 关于 数据 的 交互 
和 呈现 的 需求 未 知 时 使 用 
允许 数据 独立 于 它 的 呈现 方式 进行 变更 ， 反 之 亦 然 。 支 持 以 不 同 的 方式 呈现 同样 的 
数据 ， 在 某 一 个 呈现 方式 中 进行 的 修改 可 以 在 所 有 星 现 方式 中 显示 


当 数据 模型 和 交互 比较 简单 时 ， 可 能 包含 额外 的 代码 以 及 代码 复杂 性 
图 6-4 模型 -视图 -控制 器 (MVC) 模式 
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可 以 将 体系 结构 模式 理解 为 对 好 的 实践 的 一 种 风格 化 、 抽 象 化 的 描述 ， 这 些 实践 已 经 在 
不 同 的 系统 和 环境 中 进行 了 尝试 和 测试 。 因 此 ， 一 个 体系 结构 模式 应 当 描 述 一 种 已 经 在 此 前 
的 系统 中 得 到 成 功 应 用 的 系统 的 组 织 。 它 应 当 包 含 何 时 适合 以 及 何 时 不 适合 使 用 该 模式 ， 还 
局 包 含 关于 该 模式 的 优 缺 点 的 详细 描述 等 信息 。 

图 6-4 描述 了 广为人知 的 模型 - 视图 - 控制 器 模式 。 该 模式 是 许多 基于 Web 的 系统 中 
交互 管理 的 基础 ， 并 且 得 到 了 大 多 数 语言 框架 的 支持 。 这 种 风格 化 的 模式 描述 包括 一 个 模式 
名 称 、 一 段 简要 描述 、 一 个 图 形 化 模型 ， 以 及 一 个 使 用 了 这 种 模式 的 系统 的 例子 。 其 中 还 应 
当 包 含 关于 该 模式 应 该 在 何 种 情况 下 使 用 以 及 模式 的 优 缺 点 的 信息 。 

与 MVC 模式 相关 的 体系 结构 的 图 形 化 模型 显示 在 图 6-5 和 图 6-6 中 。 这 两 幅 图 从 不 同 
的 视图 呈现 了 体系 结构 : 图 6-5 是 一 个 概念 视图 ， 图 6-6 显示 了 当 该 模式 用 于 基于 Web 的 系 
统 中 的 交互 管理 时 ， 一 个 运行 时 系统 的 体系 结构 。 
















将 用 户 动作 映射 到 
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封装 应 用 状态 
通知 视图 状态 变更 


图 6-5 ”模型 - 视图 - 控制 器 的 组 织 图 6-6 使 用 MVC 模式 的 Web 应 用 体系 结构 


由 于 篇 幅 原因 ， 不 可 能 介绍 可 以 在 软件 开发 中 使 用 的 所 有 的 通用 模式 。 因 此 ， 这 里 选择 
了 一 些 广泛 使 用 且 反 映 了 好 的 体系 结构 设计 原则 的 模式 进行 介绍 。 


6.3.1 分 层 体系 结构 


分 离 和 独立 性 的 思想 是 体系 结构 设计 的 基础 ， 因 为 这 可 以 使 变更 被 局 部 化 。 图 6-4 中 所 
示 的 MVC 模式 将 系统 的 元 素 分 离 ， 允 许 它们 独立 变更 。 例 如 ， 增 加 一 个 新 的 视图 或 者 改变 
一 个 现 有 的 视图 可 以 在 不 改变 所 依赖 的 模型 中 的 数据 的 情况 下 实现 。 分 层 体系 结构 模式 是 另 
一 种 实现 分 离 和 独立 性 的 方式 。 这 一 模式 在 图 6-7 中 进行 了 描述 ， 系 统 功 能 被 组 织 为 多 个 分 
离 的 层次 ， 每 个 层次 只 依赖 于 紧邻 的 下 一 层 所 提供 的 设施 和 服务 。 

这 一 分 层 的 方法 支持 系统 的 增 量 开发 。 一 个 层次 开发 好 之 后 ， 该 层次 所 提供 的 一 些 服务 
可 以 提供 给 用 户 。 该 体系 结构 也 是 可 变化 和 可 前 移 的 。 如 果 接 口 不 变 ， 那么 一 个 功能 进行 了 
扩展 的 新 层 可 以 在 不 影响 系统 的 其 他 部 分 的 情况 下 取代 一 个 已 有 的 层 。 而 且 ， 当 一 个 层次 的 
接口 发 生变 化 或 者 增加 了 新 的 设施 时 ， 只 有 相 邻 的 层次 受到 影响 。 由 于 分 层 的 系统 将 机 器 的 
依赖 局 部 化 了 ， 这 使 提供 一 个 应 用 系统 的 多 平台 实现 变 得 更 容易 了 。 只 需 将 与 机 器 有 依赖 关 
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系 的 层 重新 实现 ， 便 可 以 适应 不 同 的 操作 系统 或 数据 库 的 设施 。 


将 系统 组 织 为 多 个 层次 ， 每 个 层次 与 一 些 相关 的 功能 相 联 系 。 每 个 层次 向 其 上 的 一 层 提 
供 服 务 ， 因 此 那些 最 底层 次 表示 很 有 可 能 在 整个 系统 中 使 用 的 核心 服务 ( 见 图 6-8 ) 
一 个 数字 化 学 习 系 统 的 分 层 模型 支持 学 校 中 所 有 科目 的 学 习 ( 见 图 6-9 ) 


当 在 已 有 系统 之 上 构建 新 的 设施 时 使 用 ; 当 开 发 涉及 多 个 团队 ， 每 个 团队 负责 一 个 层次 


上 的 功能 时 使 用 ; 当 存在 多 个 层次 上 的 信息 安全 需求 时 使 用 
只 要 接口 保持 不 变 ， 人 允许 对 整个 层 进行 替换 。 可 以 在 每 个 层次 上 提供 元 余 设施 (例如 ， 


身份 认证 ) 以 增加 系统 的 可 依赖 性 


在 实践 中 ,将 各 层 之 间 干 净 地 分 离 经 常 很 难 做 到 ， 较 高 层次 上 的 层 可 能 不 得 不 与 较 低 层 
次 上 的 层 直接 交互 ， 而 不 是 通过 紧邻 着 的 下 一 层 。 人 性 能 可 能 是 一 个 问题 ， 因为 当 一 个 服务 
请 求 在 各 个 层次 上 进行 处 理 时 需要 经 过 多 层 的 解析 





图 6-7 分 层 体系 结构 模式 


图 6-8 是 一 个 包括 4 层 的 分 层 体系 结构 
的 例子 。 最 底下 那 层 包括 系统 支持 软件 ， 通 
党 是 数据 库 和 操作 系统 支持 。 上 一 层 是 应 用 
层 ， 其 中 包括 关注 应 用 功能 的 构件 以 及 由 其 
他 应 用 构件 使 用 的 公用 构件 。 

从 下 向 上 数 第 三 层 关注 用 户 界 面 管理 
以 及 提供 用 户 身 份 认证 和 授权 ， 而 最 顶层 提 
供用 户 界 面 设 施 。 当 然 ， 层 的 数量 是 任意 
的 。 图 6-8 中 的 任意 一 层 都 可 以 进一步 划分 
为 两 层 或 更 多 层 。 

图 6-9 显示 第 1 章 中 所 介绍 的 iearn 
数字 化 学 习 系 统 有 一 个 遵循 这 一 模式 的 4 
层 体 系 结 构 。 图 6-19 ( 6.4 节 ， 其 中 显示 了 
Mentcare 系统 的 组 织 ) 中 显示 了 男 一 个 分 层 
体系 结构 模式 的 例子 。 


6.3.2 ”知识 库 体 系 结构 


作为 体系 结构 模式 的 例子 ， 分 层 体 系 
结构 和 MVC 模式 所 呈现 的 视图 都 是 一 个 系 
统 的 概念 化 组 织 。 而 下 一 个 体系 结构 模式 的 
例子 ， 知 识 库 模式 (图 6-10 )， 则 描述 了 一 
组 相互 交互 的 构件 如 何 共 享 数据 。 

大 多 数 使 用 大 量 数据 的 系统 都 是 围绕 
一 个 共享 数据 库 或 知识 库 组 织 的 。 因 此 ， 这 
个 模型 适合 于 数据 由 一 个 构件 生成 同时 由 另 
一 个 构件 使 用 的 应 用 。 这 类 系统 的 例子 包括 


用 户 界 面 


用 户 界 面 管理 
身份 认证 和 授权 






核心 业务 逻辑 /应 用 功能 
系统 公用 功能 


系统 支持 〈 操作 系统 、 数 据 库 等 ) 


图 6-8 一 个 通用 的 分 层 体 系 结构 






基于 浏览 融 的 用 户 界 面 iLearn 应 用 





电子 邮件 。 消息 通信 ”视频 会 议 ”报纸 存档 
字 处 理 模拟 视频 存储 资源 查找 
电子 表格 。 虚拟 学 习 环境 历史 存档 






图 6-9 iLearn 系统 的 体系 结构 


指挥 控制 系统 、 管 理 信 息 系 统 、 计 算 机 辅助 设计 系统 、 交 互 式 软件 开发 环境 。 
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一 个 系统 中 的 所 有 数据 在 所 有 系统 构件 都 能 访问 的 中 心 知识 库 中 进行 管理 。 构 件 相 
互 之 间 并 不 直接 交互 ， 仅 通过 知识 库 进 行 交 互 

图 6-11 是 一 个 集成 开发 环境 (DE) 的 例子 ， 其 中 构件 使 用 系统 设计 信息 的 知识 库 。 
每 个 软件 工具 生成 的 信息 都 会 提供 给 其 他 工具 使 用 

当 系 统 生 成 大 量 需要 长 时 间 保 存 的 信息 时 应 当 使 用 这 个 模式 。 还 可 以 在 数据 驱动 的 


系统 中 使 用 ， 这 类 系统 中 的 知识 库 中 增加 新 数据 时 会 触发 一 个 动作 或 工具 
构件 可 以 保持 独立 ， 它 们 不 需要 知道 其 他 构件 的 存在 ; 一 个 构件 进行 的 修改 可 以 被 
传播 到 所 有 构件 ; 所 有 数据 都 可 以 一 致 地 进行 管理 (例如 同时 进行 备份 ) 因为 这 些 数 


知识 库 可 能 存在 单 点 失效 问题 ， 因 此 知识 库 中 的 问题 会 影响 整个 系统 ; 通过 知识 库 
组 织 所 有 的 通信 可 能 效率 不 高 ; 将 知识 库 分 布 到 多 台 计 算 机 上 可 能 比较 困难 


图 6-10 知识 库 模 式 


图 6-11 描述 了 一 种 可 能 的 知识 库 使 用 情形 。 图 中 显示 了 一 个 集成 开发 环境 ， 其 中 包含 
不 同 的 支持 模型 驱动 开发 的 工具 。 这 里 的 知识 库 可 以 是 一 个 追踪 对 软件 的 修改 并 且 人 允许 回 滚 
到 早期 版 本 的 版 本 控制 环境 ( 见 第 25 章 )。 


项 目 知识 库 
Bitar te 


图 6-11 面向 集成 开发 环境 IDE) 的 知识 库 体 系 结构 


围绕 一 个 知识 库 组 织 工 具 是 一 个 共享 大 量 数据 的 有 效 方法 。 不 需要 显 式 地 从 一 个 构件 癌 
男 一 个 构件 传输 数据 。 然 而 ,构件 必 须 围绕 一 个 达成 共识 的 知识 库 数 据 模 型 运转 。 这 其 中 不 
可 避免 地 要 对 每 个 工具 的 特定 需要 进行 权衡 ， 而 且 如 果 一 个 新 构件 与 数据 模型 不 相符 ， 那 么 
就 可 能 很 难 甚 至 无 法 集成 了 。 在 实践 中 ， 可 能 很 难 将 知识 库 分 布 到 多 人 台 不 同 的 机 器 上 。 虽 然 
有 可 能 实现 一 个 逻辑 上 的 集中 知识 库 的 分 布 式 部 署 ， 这 其 中 会 涉及 维护 数据 的 多 份 拷贝 。 保 
证 这 些 拷贝 的 一 致 性 以 及 及 时 更 新 给 系统 增加 了 更 多 的 额外 负担 。 

在 图 6-11 所 示 的 知识 库 体 系 结构 中 ， 知 识 库 是 被 动 的 ， 使 用 知识 库 的 构件 负责 进行 挖 
制 。 另 一 种 从 人 工 智 能 (AI) 系统 中 派生 出 来 的 方法 是 ， 使 用 一 个 “黑板 ”模型 在 特定 的 数 
据 可 用 时 触发 构件 运行 。 当 知识 库 中 的 数据 是 非 结 构 化 数据 时 ， 这 种 方法 是 合适 的 。 关 于 应 
当 激 活 哪 个 工具 的 决策 只 能 在 对 数据 进行 分 析 之 后 做 出 。 这 个 模型 是 由 Nii (Nii 1986 ) 引入 
的 ，Bosch (Bosch 2000 ) 针对 这 种 风格 与 系统 质量 属性 的 关系 进行 了 很 好 的 讨论 。 


6.3.3 客户 - 服务 器 体系 结构 


知识 库 模式 关注 系统 的 静态 结构 ， 没 有 显示 系统 的 运行 时 组 织 。 本 节 体系 结构 模式 的 例 
子 一 一 客户 -服务 器 模式 ( 见 图 6-12 )， 描 述 了 一 种 常用 的 分 布 式 系统 运行 时 组 织 方式 。 一 
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个 遵循 客户 -REIRA RAAHAA HRR FA SY ARH ae, ARV IRAE AR FH 
的 客户 端 。 该 模型 的 主要 构件 包括 以 下 这 些 。 

1. 一 组 向 其 他 构件 提供 服务 的 服务 磺 。 服 务 居 的 例子 包括 : 提供 打印 服务 的 打印 服务 
器 ， 提 供 文件 管理 服务 的 文件 服务 器， 提供 编程 语言 编译 服务 的 编译 服务 器 。 服 务 器 是 软件 
构件 ， 多 个 服务 融 可 能 运行 在 同一 台 计 算 机 上 。 

2. 一 组 调用 服务 器 提供 的 服务 的 客户 端 。 通 常会 有 一 个 客户 端 程序 的 多 个 实例 并 行 运 行 
在 多 侣 计算 机 上 。 

3. 一 个 允许 客户 端 访问 这 些 服 务 的 网 络 。 客 户 -服务 妖 系 统 通 常 实现 为 分 布 式 系统 ， 
使 用 互联 网 协议 连接 。 


在 客户 - 服务 器 体系 结构 中 ， 系 统 被 呈现 为 一 组 服务 ， 其 中 每 个 服务 都 由 一 个 独立 
的 服务 器 提供 。 客 户 端 是 这 些 服务 的 用 户 ， 通 过 访问 服务 顺 来 利用 这 些 服务 


当 一 个 共享 数据 库 中 的 数据 必须 从 一 系列 不 同 的 位 置 进行 访问 时 使 用 。 因 为 服务 器 
可 以 复制 ， 因 此 也 可 以 在 一 个 系统 的 负载 多 变 的 情况 下 使 用 

这 种 模型 的 主要 优点 是 服务 器 可 以 分 布 在 网 络 上 。 通 用 的 功能 (例如 一 个 打印 服务 ) 
可 以 回 所 有 客户 端 开 放 使 用 ， 不 需要 由 所 有 服务 实现 

每 个 服务 都 存在 单 点 失效 问题 ， 因 此 容易 受到 拒绝 服务 攻击 或 服务 器 失效 的 影响 ; 
性 能 可 能 不 可 预测 ， 因 为 这 取决 于 网 络 以 及 系统 ; WRN TAMA, ABA 
还 可 能 会 出 现 管理 问题 


图 6-12 客户- 服务 器 模式 


客户 -服务 器 体系 结构 通常 被 认为 是 分 布 式 系统 体系 结构 ， 但 是 运行 在 不 同 的 服务 证 上 
的 独立 服务 的 逻辑 模型 可 以 被 实现 在 单 台 计算 机 上 。 这 里 的 一 个 重要 优势 仍然 是 分 离 和 独立 
性 。 服 务 和 服务 器 可 以 在 不 影响 系统 的 其 他 部 分 的 情况 下 被 修改 。 

客户 端 可 能 必须 知道 可 用 的 服务 器 以 及 它们 所 提供 的 服务 的 名 称 。 然 而 ， 服 务 需 不 需要 
知道 客户 端的 身份 或 者 有 多 少 客户 端正 在 访问 它们 的 服务 。 客 户 端 通过 使 用 请 求 - 应答 协议 
(例如 http) 的 远程 过 程 调用 访问 一 个 服务 器 提供 的 服务 ， 其 中 客户 端 向 一 个 服务 器 发 出 请 
求 ， 并 且 一 直 等 竺 二 到 收 到 来 自 该 服务 需 的 应 丛 。 

图 6-13 是 一 个 基于 客户 -服务 融 模 型 的 系统 的 例子 ， 这 和 是 一 个 提供 电影 和 照片 库 的 多 
用 户 、 基 于 Web 的 系统 。 在 这 个 系统 中 ， 多 个 服务 顺 管 理 并 显示 不 同类 型 的 媒体 。 视 频 帧 
需要 以 同步 的 方式 快速 传输 ， 但 分 辩 率 可 以 相对 较 低 。 它 们 可 以 压缩 存储 在 库 中 ， 因 此 视频 
服务 堪 可 以 以 不 同 的 格式 处 理 视频 压缩 和 解压 缩 。 然 而 图 片 则 必须 以 一 种 高 分 辨 率 保存 ， 因 
此 将 它们 保存 在 一 个 单独 的 服务 器 上 更 为 适合 。 

目录 必须 能 够 处 理 多 种 不 同 的 查询 。 并 提供 到 Web 信息 系统 的 链接 ， 包括 关 于 电影 和 
视频 片段 的 数据 ， 以 及 一 个 支持 照片 、 电 影 、 视 频 片 段 销 售 的 电子 商务 系统 。 客 户 端 程序 只 
是 一 个 用 于 访问 这 些 服 务 的 集成 用 户 界面 ， 使 用 一 个 Web W W ir OE FA) Hz o 

客户 - 服务 顺 模 型 最 重要 的 优势 在 于 它 是 一 个 分 布 式 体系 结构 。 带 有 很 多 分 布 式 处 理 天 
的 网 络 化 系统 可 以 获得 有 效 的 使 用 。 很 容易 增加 一 个 新 的 服务 怖 并 将 其 与 系统 的 剩余 部 分 相 
集成 ， 或 者 在 不 影响 系统 其 他 部 分 的 情况 下 透明 地 升级 服务 器 。 第 17 章 介绍 分 布 式 体系 结 
构 ， 其 中 更 详细 地 解释 了 客户 - 服务 器 模型 及 其 变 体 。 
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图 6-13 一 不 和 影库 的 客户 -服务 器 体系 结构 


6.3.4 管道 和 过 滤器 体系 结构 


最 后 一 个 通用 体系 结构 模式 的 例子 是 管道 和 过 滤 顺 模式 《图 6-14 )。 这 是 一 个 系统 的 运 
行 时 组 织 结构 的 模型 ， 其 中 功能 性 的 变换 处 理 输入 并 产生 输出 。 数 据 从 一 个 构件 流动 到 另 一 
个 构件 ， 在 流 经 这 个 序列 时 进行 变换 。 每 个 处 理 步骤 被 实现 为 一 个 变换 。 输 入 数据 流 经 这 些 
变换 直到 被 转换 为 输出 。 这 些 变换 可 以 串 行 或 并 行 执行 。 每 个 变换 可 以 一 项 项 地 处 理 数 据 ， 
也 可 以 在 单个 批 次 中 一 次 性 处 理 。 


CE 
oe 

“管道 和 过 滤器 ”这 个 名 字 来 自 于 最 初 的 Unix ASE. Æ Unix 中 可 以 使 用 “管道 ”将 进 
程 连接 起 来 。 这 些 管道 将 文本 流 从 一 个 进程 传递 给 男 一 个 进程 。 符 合 这 一 模型 的 系统 可 以 通 
过 结合 Unix 命令 、 使 用 Unix shell 的 管道 和 控制 设施 来 实现 。 使 用 术语 过 滤器 是 因为 一 个 
转换 “过 滤 掉 ”来 自 它 的 输入 数据 流 中 的 可 以 处 理 的 数据 。 

自从 计算 机 最 初 被 用 于 自动 化 地 数据 处 理 时 ， 就 已 经 使 用 该 模式 的 变 体 了 。 当 变换 是 顺 
序 化 的 而 所 处 理 的 是 批量 数据 时 ， 这 个 管道 和 过 滤器 体系 结构 模型 就 成 为 批量 顺序 模型 ， 一 
种 通用 的 数据 处 理 系统 (如 账单 系统 ) 的 体系 结构 。 一 个 舱 入 式 系 统 的 体系 结构 也 可 以 被 组 
织 为 一 个 进程 管道 ， 其 中 每 一 个 进程 并 发 执行 。 第 21 章 将 介绍 这 种 模式 在 伐 人 式 系统 中 的 ， 


使 用 。 
图 6-15 描述 了 一 个 用 于 批 处 理应 用 的 这 种 类 型 的 系统 体系 结构 的 例子 。 一 个 组 织 向 客 










管道 和 过 滤器 
系统 中 的 数据 处 理 通过 组 织 ， 每 个 处 理 构件 (过 滤器 ) 可 以 分 离开 来 并 执行 一 种 数据 
转换 。 数 据 从 一 个 构件 流动 (就 像 在 管道 中 一 样 ) 到 另 一 个 构件 进行 处 理 
图 6-15 是 一 个 用 于 处 理发 货 单 的 管道 和 过 滤器 系统 的 全 了 | 
在 数据 处 理应 用 (无 论 是 批 处 理 还 是 基于 事务 ) 中 得 到 了 广泛 应 用 ， 这 类 应 用 中 输入 
在 多 个 分 离 的 阶段 中 进行 处 理 ， 并 最 终生 成 相关 的 输出 
容易 理解 并 且 支 持 变换 的 复 用 ;这 种 工作 流风 格 与 许多 业务 过 程 的 结构 相 匹配 ; 通 
过 增加 变换 来 进行 演化 是 非常 直观 的 ; 可 以 被 实现 为 一 个 顺序 系统 或 一 个 并 发 系统 
针对 数据 转换 的 格式 必须 在 相互 通信 的 多 个 变换 之 问 达 成 一 致 ， 每 不 变换 必须 解析 
它 的 输入 ， 并 将 输出 转换 成 所 约定 的 形式 ， 增 加 了 系统 的 负担 ， 同 时 可 能 意味 着 无 法 
复 用 使 用 不 兼容 的 数据 结构 的 体系 结构 构件 


图 6-14 管道 和 过 滤 需 模式 
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户 发 出 发 货 单 。 每 个 星期 他 们 都 会 将 已 经 收 到 的 付款 与 这 些 发 货 单 进行 对 账 。 对 于 已 经 付款 
的 发 货 单 ， 他 们 会 发 出 一 个 收据 。 对 于 那些 在 所 允许 的 支付 时 间 内 还 没有 付款 的 发 货 单 ， 他 


们 会 发 出 一 个 付款 提醒 。 
ERE AE 
wT. 确定 支付 情况 
查找 发 出 | 
os e oe 


图 6-15 ”一 个 管道 和 过 滤器 体系 结构 的 例子 


管道 和 过 滤 需 系统 最 适合 于 用 户 交 互 很 少 的 批 处 理 系统 和 骨 人 式 系统 。 交 互 式 系统 很 难 
使 用 管道 和 过 滤器 模型 实现 ， 因 为 管道 和 过 滤器 模型 需要 处 理 数 据 流 。 虽 然 简单 的 文本 输入 
和 输出 可 以 用 这 种 方式 建 模 ， 但 是 对 于 图 形 化 的 用 户 界面 、 更 复杂 的 输入 /输出 格式 以 及 基 
于 事件 〈 例 如 鼠标 点 击 或 沫 单 选 取 ) 的 控制 策略 ， 很 难 将 这 些 实现 为 一 种 符合 管道 和 过 滤 需 
模型 的 顺序 流 。 


面向 控制 的 体系 结构 模式 


有 些 特定 的 体系 结构 模式 反映 了 通常 使 用 的 系统 控制 结构 的 组 织 方式 ， 其 中 包括 集 
中 式 的 控制 (一 个 构件 调用 其 他 构件 ) 以 及 基于 事件 的 控制 (系统 对 外 部 事件 做 出 响应 )。 
http://software-engineering-book.com/web/archpatterns/ 





6.4 应 用 体系 结构 


应 用 系统 的 目的 是 满足 一 个 企业 或 者 一 个 组 织 的 需要 。 所 有 的 企业 都 有 很 多 共性 : 它们 
都 需要 亡 人 、 开 发 仙 单 、 保 存 账户 等 。 同 属 一 个 行业 的 企业 使 用 通用 的 行业 特定 的 应 用 。 因 
此 ， 与 通用 的 企业 功能 一 样 ， 所 有 的 电话 公司 都 需要 系统 来 连接 呼叫 和 计 费 、 管 理 他 们 的 网 
络 、 回 客户 发 出 账单 。 因 此 ， 这 些 企 业 使 用 的 应 用 系统 同样 有 很 多 共性 。 

这 些 共性 促使 人 们 去 开发 描述 特定 类 型 软件 系统 的 结构 和 组 织 的 软件 体系 结构 。 应 用 
体系 结构 封装 了 一 类 系统 的 主要 特性 。 例 如 ， 一 个 实时 系统 中 可 能 会 包含 不 同系 统 类 型 的 通 
用 体系 结构 模型 ， 如 数据 收集 系统 或 监控 系统 。 虽 然 这 些 系统 的 具体 实例 在 细节 方面 存在 差 
异 ， 但 是 它们 的 共性 体系 结构 可 以 在 开发 同一 类 型 的 新 系统 时 被 复 用 。 

应 用 体系 结构 可 以 在 开发 新 系统 时 重新 实现 。 然 而 ， 对 于 许多 企业 系统 ， 当 通过 配置 通 
用 的 应 用 系统 来 创建 一 个 新 应 用 时 ， 应 用 体系 结构 复 用 是 隐 式 的 。 这 一 点 在 广泛 使 用 的 企业 
资源 规划 ( Enterprise Resource Planning, ERP) 系统 以 及 可 配置 的 成 品 应 用 系统 (例如 ， 财 
务 和 仓库 管理 ) 中 可 以 看 到 。 这 些 系 统 有 一 个 标准 的 体系 结构 以 及 相关 的 构件 。 这 些 构 件 可 
以 通过 配置 和 适应 性 调整 来 创建 一 个 特定 的 企业 应 用 。 例 如 ， 一 个 供应 链 管理 系统 可 以 通过 
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适应 性 调整 来 支持 不 同类 型 的 供应 商 、 商 品 、 合 同 关系 。 

一 个 软件 设计 者 可 以 通过 以 下 这 些 不 同 的 方式 使 用 应 用 体系 结构 模型 。 

1. 作为 体系 结构 设计 过 程 的 起 点 。 如 果 你 不 熟悉 你 正在 开发 的 应 用 类 型 ， 你 可 以 将 你 的 
初始 设计 建立 在 一 个 通用 的 应 用 体系 结构 基础 上 。 在 此 基础 上 你 就 可 以 针对 所 开发 的 特定 系 
统 对 体系 结构 进行 特 化 。 

2. 作为 一 个 设计 检查 表 。 如 果 你 已 经 为 一 个 应 用 系统 开发 了 一 个 体系 结构 设计 ， 那 么 你 
可 以 将 它 与 通用 的 应 用 体系 结构 相 比 较 ， 检 查 你 的 设计 是 否 与 通用 体系 结构 相 一 致 。 

3. 作为 组 织 开发 团队 工作 的 一 种 方式 。 应 用 体系 结构 识别 出 了 系统 体系 结构 中 稳定 的 结 
构 特征 ， 而 且 这 些 结 构 单 元 很 多 时 候 可 以 并 行 开发 。 你 可 以 按照 这 一 结构 向 团队 成 员 分 配 工 
作 ， 让 他 们 实现 体系 结构 中 的 不 同 构件 。 

4. 作为 评价 构件 复 用 的 一 种 方式 。 如 果 你 有 一 些 可 复 用 的 构件 ， 可 以 将 它们 与 通用 结构 
相 比 较 ， 以 确定 应 用 体系 结构 中 是 否 有 与 之 相当 的 构件 。 

5. 作为 谈论 应 用 时 的 一 种 词汇 表 。 如 果 你 正在 讨论 一 个 特定 的 应 用 或 者 试图 比较 不 同 的 
应 用 ,那么 你 可 以 使 用 通用 体系 结构 中 所 识别 的 概念 来 讨论 这 些 应 用 。 

存在 许多 类 型 的 应 用 系统 ， 有 时 候 它 们 可 能 会 看 上 去 很 不 一 样 。 然 而 ， 表 面 上 不 一 样 的 
应 用 可 能 有 很 多 共性 ， 因 此 可 以 共享 一 个 抽象 应 用 体系 结构 。 这 里 将 通过 描述 两 种 不 同类 型 
的 应 用 的 体系 结构 来 说 明 这 一 点 。 

1, 事务 处 理应 用 。 事 务 处 理应 用 是 以 数据 库 为 中 心 的 应 用 ,处理 用 户 的 信息 请 求 并且 更 
新 数据 库 中 的 信息 。 这 些 系统 是 最 常见 的 交互 式 业 务 系统 类 型 。 这 些 系统 的 组 织 结构 使 用 户 
动作 不 会 相互 干涉 ， 而 数据 库 的 完整 性 得 以 保持 。 这 类 系统 包括 交互 式 银行 系统 、 电 子 商务 
系统 、 信 息 系统 、 预 订 系 统 。 

2. 语言 处 理 系统 。 语 言 处 理 系统 中 用 户 的 意图 用 形式 化 语言 (例如 编程 语言 ) 来 表达 。 
语言 处 理 系统 将 这 种 语言 处 理 成 一 种 内 部 格式 ， 然 后 对 这 种 内 部 表示 进行 解释 。 最 著名 的 语 
言 处 理 系统 是 编译 器， 它 将 高 层 语 言 程序 转换 为 机 器 代码 。 然 而 ， 语 言 处 理 系统 也 可 以 用 于 
解释 数据 库 和 信息 系统 的 命令 语言 以 及 标记 语言 (例如 XML). 

这 里 选择 这 两 类 特定 类 型 的 系统 是 因为 ， 大量 基于 Web 的 业务 系统 都 是 事务 处 理 系 统 ， 
而 所 有 的 软件 开发 都 依赖 于 语言 处 理 系统 。 


O 应 用 体系 结构 


在 本 书 的 网 站 上 有 几 个 应 用 体系 结构 的 例子 ， 其 中 包括 批量 数据 处 理 系统 、 资 源 分 
配 系统 、 基 于 事件 的 编辑 系统 的 描述 。 
http://software-engineering-book.com/web/apparch/ 






6.4.1 事务 处 理 系统 


事务 处 理 系统 被 设计 用 于 处 理 用 户 获 取 数 据 库 中 信息 的 请 求 或 者 更 新 数据 库 的 请 求 ， 
(Lewis, Bernstein, and Kifer 2003 )。 从 技术 上 看 ， 一 个 数据 库 事务 包含 一 个 操作 序列 并 且 
该 序列 作为 整体 处 理 (一 个 原子 单元 )。 一 个 事务 中 的 所 有 操作 必须 在 数据 库 修 改 被 持久 化 
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之 前 完成 。 这 保证 了 一 个 事务 中 失败 的 操作 不 会 导致 数据 库 中 的 不 一 致 。 

从 用 户 的 角度 看 ， 一 个 事务 是 任何 满足 一 个 目标 的 内 聚 的 操作 序列 ， 例 如 “查找 从 伦敦 
到 巴黎 的 航班 时 间 ”。 如 果 用 户 事务 不 需要 对 数据 库 进行 修改 ， 那 么 不 一 定 要 将 其 作为 一 个 
技术 上 的 数据 库 事 务 。 

一 个 数据 库 事务 的 例子 是 ， 一 个 客户 使 用 一 台 ATM 机 请 求 从 一 个 银行 账户 中 取 一 些 
钱 。 这 包括 检查 客户 账户 余额 以 确定 是 否 有 足够 的 钱 、 按 照 取款 金额 修改 余额 、 发 送 命令 给 
ATM 机 以 提供 现金 。 在 所 有 这 些 步骤 完成 之 前 ， 这 个 事务 都 没有 完成 并 且 客 户 账户 数据 库 
不 会 进行 修改 。 

事务 处 理 系统 通常 是 交互 式 系统 ， 其 中 用 户 发 出 异步 的 服务 请 求 。 图 6-16 描述 了 事务 
处 理应 用 的 概念 体系 结构 。 首 先 ， 用 户 通过 一 个 输入 /输出 处 理 构件 向 系统 发 出 请 求 。 该 请 
求 由 一 些 应 用 特定 的 逻辑 进行 处 理 。 一 个 事务 被 创建 并 传递 给 事务 管理 器 (通常 嵌入 在 数据 
库 管 理 系统 中 )。 事 务 管理 器 在 保证 事务 被 正确 完成 后 ， 再 通知 应 用 处 理 已 完成 。 


图 6-16 事务 处 理应 用 的 结构 


可 将 事务 处 理 系统 组 织 为 含有 负责 输入 、 处 理 、 输 出 的 系统 构件 的 “管道 和 过 滤器 ” 体 
系 结构 。 例 如 ， 考 虑 一 个 允许 客户 用 ATM 机 查询 账户 以 及 取现 金 的 银行 系统 。 该 系统 由 两 
个 协作 的 软件 构件 组 成 一 一 ATM 软件 以 及 银行 的 数据 库 服 务 右 中 的 账户 处 理 软 件 。 输 入 和 
输出 构件 被 实现 为 ATM 中 的 软件 ， 而 处 理 构件 则 是 银行 的 数据 库 服务 需 的 一 部 分 。 图 6-17 
描述 了 这 个 系统 的 体系 结构 ， 显 示 了 输入 、 处 理 、 输 出 构件 的 功能 。 





图 6-17 一 个 ATM 系统 的 软件 体系 结构 


6.4.2 信息 系统 


所 有 包含 与 一 个 共享 数据 库 交 互 的 系统 都 可 以 认为 是 基于 事务 的 信息 系统 。 一 个 信息 系 
统 允 许 对 一 个 很 大 的 信息 库 ( 例 如， 图 书馆 目录 、 航 班 时 间 表 或 者 医院 里 的 病人 记录 ) 的 受 
控 访问 。 信 息 系 统 几 乎 都 是 基于 Web 的 系统 ， 其 中 用 户 界面 在 一 个 Web 浏览 器 中 实现 。 

图 6-18 展示 了 一 个 非常 通用 的 信息 系统 模型 。 系 统 使 用 层次 化 的 方法 ( 见 6.3 节 ) 进行 
建 模 ， 其 中 最 项 层 支 持 用 户 界面 ， 最 底层 是 系统 数据 库 。 用 户 通 信 层 处 理 来 自用 户 界面 的 所 
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以 直接 映射 到 一 个 分 布 式 基于 互联 网 的 系统 中 的 服务 做 上 。 

作为 这 一 分 层 模 型 的 一 个 实例 化 的 例子 ， 图 6-19 描述 了 Mentcare 系统 的 体系 结构 。 该 
系统 维护 并 管理 正在 接受 专科 医生 关于 心理 健康 问题 诊疗 的 病人 的 详细 信息 。 通 过 识别 支持 
用 户 通信 以 及 信息 检索 和 访问 的 构件 ， 向 这 个 模型 的 每 一 层 中 都 增加 了 一 些 细节 。 

1. 最 顶层 是 一 个 基于 浏览 大 的 用 户 界 面 。 

2. 第 二 层 实现 了 通过 Web 浏览 器 提供 的 用 户 界 面 功能 : 允许 用 户 登 录 系 统 的 构件 ， 确 
保 用 户 使 用 的 操作 符合 其 角色 权限 的 检查 构件 。 这 一 层 包括 : 向 用 户 呈 现 信 息 的 表单 以 及 菜 
单 管理 构件 ， 检 查 信息 一 致 性 的 数据 验证 构件 。 

3. 第 三 层 实现 了 系统 的 功能 ， 所 提供 的 构件 实现 了 系统 信息 安全 、 病 人 信息 创建 和 更 
新 、 从 其 他 数据 库 导 入 和 导出 病人 数据 、 创 建 管理 报表 的 报表 生成 器 。 

4. 最 终 ， 最 底层 使 用 一 个 商业 化 的 数据 库 管理 系统 来 构建 ， 提 供 了 事务 管理 和 持久 化 的 
数据 存储 。 


a ee 信息 病人 信息 。 数据 导入 
a ee 安全 管理 。 ”管理 器 和 导出 报表 生成 
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图 6-18 分 层 的 信息 系统 体系 结构 图 6-19 Mentcare 系统 的 体系 结构 


信息 和 资源 管理 系统 有 时 候 也 是 事务 处 理 系统 。 例 如 ， 电 子 商务 系统 是 基于 互联 网 的 资 
源 管 理 系统 ， 它 们 接受 商品 或 服务 的 电子 订单 ， 然 后 安排 这 些 商 品 或 服务 向 客户 交付 。 在 一 
个 电子 商务 系统 中 ， 应 用 特定 层 包括 附 加 的 功能 以 支持 “购物 车 ”， 其 中 用 户 可 以 通过 多 个 
分 开 的 事务 放 入 一些 购物 项 ， 然 后 在 一 个 事务 中 一 起 支付 所 有 购物 项 。 

这 些 系统 中 的 服务 器 组 织 通常 反映 了 图 6-18 中 所 示 的 4 层 通 用 模型 。 这 些 系统 经 常 实 
现 为 带 有 多 层 客户 端 / 服务 器 体系 结构 的 分 布 式 系统 。 

1.Web 服务 器 负责 所 有 的 用 户 通信 ， 并 带 有 使 用 Web W w ae Sc BRAY A A o 

2. 应 用 服务 器 负责 实现 特定 应 用 逻辑 以 及 信息 存储 和 检索 请 求 。 

3. 数据 库 服务 器 将 信息 移动 到 数据 库 ， 从 数据 库 中 获取 数据 ， 同 时 处 理事 务 管理 。 

使 用 多 个 服务 器 可 以 实现 高 吞吐 量 ， 使 每 分 钟 处 理 成 千 上 万 的 事务 成 为 可 能 。 随 着 请 求 
量 的 增长 ， 每 个 层次 都 可 以 增加 服务 咒 以 应 对 所 需要 的 额外 处 理 能 力 。 


6.4.3 语言 处 理 系 统 


语言 处 理 系 统 将 一 种 语言 翻译 为 该 语言 的 另 一 种 表示 方式 ， 对 于 编程 语言 还 可 以 执行 所 
产生 的 代码 。 编 译 器 将 一 种 编程 语言 翻译 为 机 器 代码 。 其 他 语言 处 理 系统 可 以 将 XML 数据 
描述 翻译 为 数据 库 查 询 命令 或 者 另 一 种 XML 表示 形式 。 自 然 语言 处 理 系 统 可 以 将 一 种 目 然 
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语言 翻译 为 为 一 种 语言 ， 例 如 从 法 语 到 挪威 语 。 

一 个 面 回 编程 语言 的 语言 处 理 
系统 体系 结构 如 图 6-20 所 示 。 源 语 
言 指令 定义 了 要 执行 的 程序 ， 一 个 
翻译 带 将 这 些 转 换 为 面 铝 抽象 机 器 的 
指令 。 这 些 指 令 接 着 被 男 一 个 构件 
解析 ， 该 构件 取出 执行 指令 并 且 使 用 
(如 果 有 必要 的 话 ) 来 自 环 境 的 数据 
执行 这 些 指令 。 该 过 程 的 输出 是 解析 
输入 数据 中 的 指令 的 结果 。 

对 于 许多 编译 器 ， 解 析 需 是 处 理 
Platts SM ABE, mA Late = | 
真实 的 处 理 器 。 然 而 ， 对 于 动态 类 型 图 6-20 一 个 语言 处 理 系 统 的 体系 结构 
语言 (例如 Ruby 或 Python)， 解 析 器 是 一 个 软件 构件 。 

作为 更 通用 的 编程 环境 的 一 部 分 的 编程 语言 编译 器具 有 一 个 通用 体系 结构 (图 6-21 ), 
其 中 包括 以 下 这 些 构件 。 

1. 一 个 词法 分 析 器 ， 读 入 输入 语言 标记 符号 ， 并 将 其 转换 为 一 种 内 部 形式 。 

2. 一 个 符号 表 ， 包 含 与 所 翻译 的 文本 中 使 用 的 实体 (变量 、 类 名 、 对 象 名 等 ) 名 称 相 关 
的 信息 。 

3. 一 个 语法 分 析 需 ， 检 查 所 翻译 的 语言 的 语法 。 它 使 用 该 语言 所 定义 的 语法 ， 并 且 构 造 
一 个 语法 树 。 

4. 语法 树 ， 这 是 所 编译 的 程序 的 一 种 内 部 表示 结构 。 

5. 语义 分 析 器 ,使 用 来 自 语法 树 的 信息 以 及 符号 表 来 检查 输入 语言 文本 的 语义 正确 性 。 

6. (USAR Mat, ASE A AE He A PL AE o 

还 可 以 包含 其 他 对 语法 树 进行 分 析 和 转换 以 提高 效率 并 从 所 生成 的 机 器 代码 中 消除 元 余 
的 构件 。 在 其 他 类 型 的 语言 处 理 系统 (例如 ， 一 个 自然 语言 翻译 器 ) 中 ,还 有 一 些 附 加 的 构 
件 ， 例 如 字典 。 系 统 的 输出 是 对 输入 文本 的 翻译 。 


Q) 参考 体系 结构 


参考 体系 结构 捕捉 一 个 领域 中 系统 体系 结构 的 重要 特征 。 从 本 质 上 讲 ， 它 们 包括 一 
个 应 用 体系 结构 可 能 包含 的 所 有 东西 ， 然 而 在 现实 中 任何 单个 的 应 用 都 不 太 可 能 包含 参考 
体系 结构 中 所 显示 的 所 有 特征 。 参 考 体系 结构 的 主要 目的 是 评价 和 上 比较 设计 方案 ， 以 及 对 
相关 人 员 进 行 该 领域 中 的 体系 结构 特性 的 培训 。 


http://software-engineering-book.com/web/refarch/ 









图 6-21 描述 了 一 个 语言 处 理 系统 如 何 作为 一 个 集成 的 编程 支持 工具 集 的 一 部 分 。 在 这 
个 例子 中 ， 符 号 表 和 语法 树 扮演 中 心 信息 库 的 角色 。 工 具 或 者 工具 片段 通过 这 个 库 进行 通 
信 。 有 时 可 以 嵌入 在 工具 中 的 其 他 信息 (例如 程序 的 语法 定义 以 及 输出 格式 定义 ) 从 工具 中 
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都 被 抽取 出 来 并 放 到 知识 库 中 。 因 此 ， 一 个 语法 制导 的 编辑 器 可 以 在 一 个 程序 正在 编写 时 检 
查 它 的 语法 是 否 正 确 。 一 个 程序 格式 器 可 以 创建 高 亮 显 示 不 同 语法 元 素 的 清单 ， 从 而 使 程序 


更 容易 阅读 和 理解 。 
分 析 器 分 析 器 分 析 器 
| mha W g i 


图 6-21 ”一 个 语言 处 理 系 统 的 知识 库 体系 结构 





其 他 体系 结构 模式 也 可 以 用 于 语言 处 理 系统 (Garlan and Shaw 1993). Saba AY SCH A] 
以 将 知识 库 模 型 和 管道 过 滤器 模型 结合 起 来 使 用 。 在 一 个 编译 器 体系 结构 中 ， 符 号 表 是 一 个 
共享 数据 的 知识 库 。 词 法 、 语 法 和 语义 分 析 阶 段 以 顺序 化 的 方式 进行 组 织 (如 图 6-22 Pras), 
并 且 通 过 共享 的 符号 表 进 行 通信 。 






图 6-22 ”一 个 管道 和 过 滤器 编译 器 体系 结构 


这 一 语言 编译 的 管道 和 过 滤器 模型 在 批 处 理 环境 中 很 有 效 ， 其 中 程序 的 编译 和 执行 都 不 
需要 用 户 交 互 ， 例如， 将 一 个 XML 文档 翻译 成 另 一 个 XML 文档 时 。 但 是 ， 当 一 个 编译 需 
与 其 他 语言 处 理工 具 ( 例 如， 一 个 结构 化 编辑 系统 、 一 个 交互 式 调试 器 或 者 一 个 程序 格式 船 ) 
相 集 成 时 ， 该 模型 就 没 那么 有 效 了 。 在 这 种 情形 中 , 来 自 一 个 构件 的 变化 需要 立即 反映 在 其 
他 构件 中 。 如 果 你 正在 实现 一 个 通用 的 、 面 向 语言 的 编程 环境 ， 那 么 一 个 更 好 的 办 法 是 围绕 
一 个 知识 库 来 组 织 系统 ， 如 图 6-21 所 示 。 i 
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© 一 个 软件 体系 结构 是 关于 软件 系统 如 何 组 织 的 一 种 描述 。 一 个 系统 的 属性 ， 例 如 性 
能 、 信 息 安全 、 可 用 性 等 ， 都 受到 所 使 用 的 体系 结构 的 影响 。 

© 体系 结构 设计 决策 包括 对 应 用 类 型 、 系 统 分 布 、 要 使 用 的 体系 结构 风格 、 体 系 结构 
的 描述 和 评价 方式 等 方面 的 决策 。 

© 体系 结构 可 以 从 多 个 不 同 的 视角 或 视图 来 描述 。 可 能 的 视图 包括 概念 视图 、 人 逻辑 视 
图 、 进 程 视图 、 开 发 视图 、 物 理 视图 。 
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© 体系 结构 模式 是 一 种 复 用 关于 通用 系统 体系 结构 的 知识 的 手段 。 它 们 描述 了 体系 结 
构 ， 解 释 应 该 何 时 使 用 ， 还 指出 了 它 的 优点 和 缺点 。 

广泛 使 用 的 体系 结构 模式 包括 模型 - 视图 -控制 希 (MVC) 模式 、 分 层 体 系 结构 模 
式 、 知 识 库 模 式 、 客 户 - 服务 需 模 式 、 管 道 和 过 滤 筑 模式 。 

通用 的 应 用 系统 体系 结构 模型 帮助 我 们 : 理解 应 用 的 运行 ， 比 较 同 种 类 型 的 应 用 ， 验 
证 应 用 系统 设计 ， 评 价 大 规模 构件 的 可 复 用 性 。 

事务 处 理 系统 允许 一 些 用 户 远 程 访问 并 修改 数据 库 中 的 信息 的 交互 式 系 统 。 信 息 系 
统 和 资源 管理 系统 是 事务 处 理 系 统 的 例子 。 

语言 处 理 系 统 用 于 将 文本 从 一 种 语言 翻译 为 为 一 种 语言 ， 并 执行 输入 语言 中 所 指 害 
的 指令 。 它 们 包括 一 个 翻译 怖 以 及 执行 所 生成 的 语言 的 抽象 机 六。 


阅读 推荐 

《 Software Architecture: Perspectives on an Emerging Discipline 》 是 第 一 本 关于 软件 体系 
结构 的 书 ， 对 于 目前 仍然 关注 的 一 些 不 同 的 体系 结构 风格 进行 了 很 好 的 讨论 。( M. Shaw and 
D. Garlan, 1996, Prentice-Hall) 

《 The Golden Age of Software Architecture 》 这 篇 论文 对 软件 体系 结构 的 发 展 进 行 了 
综述 ， 从 20 世纪 80 年 代 开 始 提 出 这 一 概念 直到 21 世纪 软件 体系 结构 的 使 用 。 其 中 没有 
太 多 的 技术 内 容 ， 但 是 提供 了 一 个 很 有 趣 的 历史 回顾 。(M. Shaw and P. Clements, IEEE 
Software, 21 (2), March-April 2006 ) http://doi.dx.org/10.1109/MS.2006.58 

《 Software Architecture in Practice ( 3rd ed.)》 这 本 书 提 供 了 关于 软件 体系 结构 的 实践 讨 
论 ， 其 中 没有 过 分 吹 咕 体系 结构 设计 的 好 处 。 该 书 提供 了 一 个 清晰 的 企业 原理 ， 解 释 了 体系 
结构 为 什么 很 重要 。(L. Bass, P. Clements, and R. Kazman, 2012, Addison-Wesley ) 

《 Handbook of Software Architecture 》 是 由 Grady Booch (软件 体系 结构 的 早期 传道 者 
之 一 ) 所 写 的 体系 结构 进展 介绍 。 他 曾经 对 一 系列 软件 系统 进行 过 体系 结构 文档 化 ， 因 此 可 
以 看 到 一 些 现 实 而 非 学 术 界 的 抽象 。 这 份 文献 在 Web 上 ,不 久 的 将 来 将 出 版 。( G. Booch, 


2014 ) http://www.handbookofsoftwarearchitecture.com/ 
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本 章 的 PPT: http://software-engineering-book.com/slides/chap6/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/requirements-and-design/ 


练习 


6.1 当 描 述 一 个 系统 时 ， 为 什么 必须 要 在 得 到 完整 的 需求 规格 说 明之 前 就 开始 系统 体系 结 
构 的 设计 ? 

6.2 ”你 被 要 求 准备 并 向 一 个 非 技术 管理 人 员 做 陈述 ， 说 明 为 一 个 新 项 目 雇 用 一 个 系统 架构 
师 的 理由 。 将 其 中 的 要 点 一 一 列举 出 来 ， 说 明 你 的 陈述 中 的 关键 点 ， 其 中 要 解释 软件 
体系 结构 的 重要 性 。 

6.3 在 为 一 个 可 用 性 和 信息 安全 需求 都 是 最 重要 的 非 功 能 性 需求 的 系统 设计 体系 结构 时 ， 
为 什么 可 能 会 出 现 设计 冲突 ? 

6.4 针对 以 下 这 些 系 统 ， 画 出 描述 它们 的 体系 结构 的 一 个 概念 视图 和 一 个 进程 视图 。 


6.5 
6.6 


6.7 


6.8 


6.9 
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一 个 火车 站 里 由 乘客 使 用 的 售票 机 ; 

一 个 计算 机 控制 的 视频 会 议 系 统 ， 该 系统 允许 多 个 与 会 者 同时 看 到 相关 的 视频 、 音 频 
和 计算 机 数据 ; 

一 个 用 于 清扫 相对 清楚 的 区 域 (例如 走廊 ) 的 扫地 机 需 人 ， 必 须 能 够 感知 墙 和 其 他 障碍 物 。 
为 什么 你 在 设计 一 个 大 型 系统 的 体系 结构 时 通常 要 使 用 多 个 体系 结构 模式 ? 

针对 一 个 用 于 在 互联 网 上 销售 和 分 发 音乐 的 系统 (例如 iTunes)， 建 议 一 个 体系 结构 。 
你 所 提出 的 体系 结构 是 以 哪些 体系 结构 模式 为 基础 的 ? 

将 要 开发 一 个 信息 系统 以 用 于 维护 关于 一 个 公用 事业 公司 所 拥有 资产 (例如 建筑 、 车 
辆 、 设 备 ) 的 信息 。 和 希望 该 系统 可 以 在 新 的 资产 信息 可 用 时 ， 在 现场 工作 的 员 开 可 以 使 
用 移动 设备 进行 更 新 。 该 公司 有 几 个 已 有 的 资产 数据 库 ， 它 们 应 当 通 过 该 系统 进行 集 
成 。 基 于 图 6-18 中 所 示 的 通用 和 信息 系统 体系 结构 ， 为 这 个 资产 管理 系统 设计 一 个 分 层 
体系 结构 。 

使 用 这 里 所 介绍 的 语言 处 理 系 统 通用 模型 ， 设 计 一 个 系统 的 体系 结构 ， 该 系统 接受 自 
然 语言 命令 ， 并 将 其 翻译 为 数据 库 查 询 语言 (例如 SQL). 

使 用 如 图 6-18 中 所 示 的 信息 系统 基本 模型 ， 针 对 一 个 面向 移动 设备 用 于 显示 某 个 特定 
机 场 航班 到 达 和 起 飞信 息 的 应 用 ， 建 议 其 中 应 该 包含 哪些 构件 ? 


6.10 是 否 应 当 设置 一 个 独立 的 “软件 架构 师 ”职业 ， 其 角色 是 与 客户 一 起 独立 工作 来 设计 


软件 系统 的 体系 结构 ? 一 个 独立 的 软件 公司 接 下 来 可 以 实现 这 个 系统 。 设 置 这 样 一 种 
职业 可 能 会 存在 什么 困难 ? 
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目标 

本 章 的 目标 是 介绍 使 用 UML 的 面向 对 象 软 件 设 计 ， 并 强调 一 些 重 要 的 实现 关注 点 。 阅 
读 完 本 章 后 ， 你 将 : 

e 理解 一 个 通用 的 面向 对 象 设计 过 程 中 最 重要 的 活动 ; 

o 理解 一 些 不 同 的 面 问 对象 设计 描述 模型 ; 

o 了 解 设计 模式 的 思想 ， 以 及 如 何 利用 设计 模式 实现 设计 知识 和 经 验 的 复 用 ; 

© 了 解 在 实现 软件 时 必须 考虑 的 一 些 关键 问题 ， 包 括 软 件 复 用 和 开源 开发 。 

软件 设计 和 实现 是 软件 工程 过 程 中 的 一 个 阶段 ， 在 此 阶段 中 会 开发 一 个 可 执行 的 软件 系 
统 。 对 于 一 些 简单 的 系统 ， 软 件 工程 意味 着 软件 设计 和 实现 ， 而 所 有 其 他 软件 工程 活动 都 被 
合并 到 这 个 过 程 中 了 。 然 而 ， 对 于 大 型 系统 而 言 ， 软 件 设计 和 实现 只 是 一 系列 软件 工程 过 程 
(例如 ， 需 求 工 程 、 验 证 和 确认 等 ) 中 的 一 个 。 

软件 设计 和 实现 活动 活动 一 般 总 是 存在 重 破 。 软 件 设计 是 一 个 创造 性 的 活动 ， 在 此 活动 
中 需要 基于 客户 需求 识别 软件 构件 及 其 关系 。 实 现 是 将 设计 实现 为 一 个 程序 的 过 程 。 有 时 候 
会 有 一 个 独立 的 设计 阶段 ， 其 中 的 设计 会 被 建 模 和 文档 化 。 而 其 他 时 候 设 计 会 存在 于 程序 员 
的 脑海 中 ， 或 只 是 在 白板 或 纸 上 大 致 地 用 草图 画 一 下 。 设 计 是 关于 如 何 解 决 一 个 问题 ， 因 此 
总 是 有 一 个 设计 过 程 。 然 而 ， 并 不 总 是 有 必要 或 者 适合 用 UML 或 其 他 设计 描述 语言 详细 描 
述 设计 。 

设计 和 实现 密切 联系 在 一 起 ， 考 虑 一 个 设计 时 通常 都 应 该 将 实现 问题 考虑 进来 。 例 如 ， 
如 果 使 用 面向 对 象 语言 (例如 Java 或 CH) 编程 ， 那 么 使 用 UML 描述 一 个 设计 可 能 是 正确 
的 选择 。 如 果 使 用 Python 这 样 的 动态 类 型 语言 ， 那 么 UML 就 没 那 么 有 用 了 。 如 果 通 过 配置 
一 个 成 品 软件 包 来 实现 系统 ,那么 使 用 UML 就 没什么 道理 了 。 如 第 3 章 中 所 提 到 的 ， 敏 捷 
方法 通常 是 在 非 正 式 的 设计 草图 基础 上 工作 的 ， 设 计 决 策 都 留 给 了 程序 员 。 

在 一 个 软件 项 目的 早期 阶段 必须 做 出 的 一 个 最 重要 的 实现 决策 是 ， 确 定 自己 构建 还 
是 购买 应 用 软件 。 对 于 许多 类 型 的 应 用 而 言 ， 现 在 都 可 以 买 到 可 以 按照 用 户 需 求 进行 适应 
性 调整 和 裁剪 的 成 品 应 用 系统 。 例 如 ， 如 果 想 实现 一 个 医疗 记录 系统 ， 可 以 购买 一 个 已 经 
在 医院 中 使 用 的 软件 包 。 采 用 这 种 方法 通常 比 用 传统 开发 语言 开发 一 个 新 系统 更 加 便宜 也 
更 快 。 

当 通过 复 用 一 个 成 品 软件 产品 开发 一 个 应 用 系统 时 ， 设 计 过 程 关注 如 何 配置 该 系统 产品 
以 满足 应 用 需求 。 你 不 需要 开发 系统 的 设计 模型 ， 例 如 ， 关 于 系统 对 象 及 其 交互 的 模型 。 第 
15 章 中 将 介绍 这 一 基于 复 用 的 开发 方法 。 

这 里 假设 本 书 的 大 部 分 读者 都 已 经 有 了 一 些 程序 设计 和 实现 经 验 。 这 些 都 是 你 在 学 习 编 
程 以 及 掌握 一 个 编程 语言 (例如 Java BK Python) 的 元 素 时 可 以 获取 到 的 。 通 过 学 习 编程 语 
言 ， 你 一 般 都 可 以 学 到 你 所 学 习 的 编程 语言 中 的 一 些 好 的 编程 实践 ， 以 及 学 会 如 何 调试 你 所 
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.开发 的 程序 。 因 此 ， 在 这 里 不 再 介绍 编程 相关 的 话题 。 本 章 有 以 下 两 个 目的 : 

1. 展示 系统 建 模 和 体系 结构 设计 (在 第 5 章 和 第 6 章 中 介绍 ) 如 何在 开发 一 个 面向 对 象 
软件 设计 时 进行 实践 应 用 ; 

2. 介绍 在 编程 相关 的 书 中 通常 不 会 涉及 的 一 些 重 要 的 实现 问题 ， 包 括 软 件 复 用 、 配 置 管 
理 和 开源 开发 。 

由 于 存在 大 量 不 同 的 开发 平台 ， 本 章 不 会 特别 关注 任何 特定 的 编程 语言 或 实现 技术 。 因 
此 ， 本 章 中 所 有 的 例子 都 是 用 UML 而 不 是 编程 语言 (例如 Java 或 Python) 来 呈现 的 。 


7.1 使 用 UML 的 面向 对 象 设计 


一 个 面向 对 象 系统 由 相互 交互 的 对 象 组 成 ， 这 些 对 象 保持 目 己 的 本 地 状态 同时 基于 状态 
提供 相应 的 操作 。 状 态 的 表示 是 私有 的 ， 无 法 从 该 对 象 的 外 部 直接 访问 。 面 向 对 象 设计 过 程 
包括 设计 对 象 类 以 及 这 些 类 之 则 的 关系 。 这 些 类 定义 了 系统 中 的 对 象 以 及 它们 的 交互 。 当 设 
计 被 实现 为 执行 程序 时 ， 对 象 会 在 这 些 类 定义 的 基础 上 被 动态 创建 出 来 。 

对 象 同时 包括 数据 以 及 操纵 这 些 数 据 的 操作 。 因 此 ， 它 们 可 以 作为 独立 的 实体 进行 理解 
和 修改 。 改 变 一 个 对 象 的 实现 或 者 增加 服务 不 应 该 影响 其 他 系统 对 象 。 因 为 对 象 与 事物 相关 
联 ， 现 实 世 界 实体 (例如 硬件 构件 ) 和 它们 在 系统 中 的 控制 对 象 之 间 经 党 存在 清晰 的 映射 。 
这 改进 了 设计 的 可 理解 性 ， 因 此 也 有 利于 可 维护 性 。 

为 了 开发 一 个 系统 设计 (从 概念 到 详细 的 面 加 对 象 设计 )， 你 需要 ， 

1. 理解 并 定义 上 下 文 以 及 与 系统 的 外 部 交互 ; 

2. 设计 系统 体系 结构 ; 

3. 识别 系统 中 的 主要 对 象 ; 

4. 开发 设计 模型 ; 

5. 刻画 接口 。 

像 所 有 的 创造 性 活动 一 样 ， 设 计 不 是 一 个 清晰 的 顺序 性 过 程 。 在 开发 一 个 设计 的 过 程 
中 会 获得 想法 ， 提 出 解决 方案 ， 随 着 更 多 信息 的 获得 精 化 这 些 解决 方案 。 当 出 现 问题 时 ,不 
可 避免 地 必须 回溯 并 重新 尝试 。 有 时 候 要 详细 探索 各 种 选项 看 它们 是 否 奏效 ; 而 其 他 时 候 则 
会 忽略 细节 直到 过 程 中 的 后 期 。 有 时 候 使 用 UML 等 建 模 表示 法 来 精确 地 阐明 设计 的 各 个 方 
面 ; 而 其 他 时 候 ， 则 可 以 以 非 正 式 的 方式 使 用 一 些 表示 法 来 激发 讨论 。 

本 章 通过 为 业务 气象 站 这 个 磐 人 式 系统 (在 第 上 章 中 介绍 过 ) 的 一 部 分 开发 一 个 设计 来 
解释 面向 对 象 软件 设计 。 每 个 气象 站 都 会 记录 本 地 的 气象 信息 ， 并 使 用 卫星 链 路 定期 将 这 些 
信息 发 送 给 一 个 气象 信息 系统 。 


7.1.1 系统 上 下 文 和 交互 


任何 软件 设计 过 程 的 第 一 个 阶段 都 是 理解 所 设计 的 软件 与 它 的 外 部 环境 之 间 的 关系 。 这 
是 很 重要 的 ， 因 为 可 以 据 此 决定 如 何 提供 所 需要 的 系统 功能 ， 以 及 如 何 对 系统 进行 组 织 从 而 
与 环境 进行 通信 。 如 第 5 章 中 所 提 到 的 ， 理 解 上 下 文 还 可 以 建立 系统 的 边界 。 

设 定 系 统 边界 帮助 开发 人 员 决 定 哪些 特征 在 所 设计 的 系统 中 实现 ， 以 及 哪些 特征 在 其 他 
相关 联 的 系统 中 实现 。 在 野外 气象 站 案例 中 ， 需 要 决定 功能 如 何在 所 有 气象 站 的 控制 软件 以 
及 气象 站 目 身 的 通信 式 软件 之 间 进 行 分 布 。 
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系统 上 下 文 模型 和 交互 模型 所 呈现 的 关于 系统 及 其 环境 之 间 关 系 的 视图 是 互补 的 。 

1. 系统 上 下 文 模型 是 一 种 结构 化 模型 ， 其 中 展示 
了 所 开发 的 系统 的 环境 中 的 其 他 系统 。 

2. 交互 模型 是 一 种 动态 模型 ， 其 中 显示 系统 在 使 
用 时 如 何 与 环境 进行 交互 。 

一 个 系统 的 上 下 文 模型 可 以 使 用 关联 来 表示 。 关 
联 只 是 显示 关联 中 所 包含 的 实体 之 间 存 在 某 些 关系 。 
可 以 使 用 简单 的 框图 来 描述 系统 的 环境 ， 显 示 系 统 中 
的 实体 以 及 它们 之 间 的 关联 关系 。 图 7-1 显示 了 每 个 图 7-1 气象 站 的 系统 上 下 文 
气象 站 环境 中 的 系统 包括 一 个 气象 信息 系统 、 一 个 卫 
星系 统 以 及 一 个 控制 系统 。 链 接 关 系 上 的 基数 信息 显 
示 ， 有 一 个 控制 系统 、 多 个 气象 站 、 一 个 卫星 、 一 个 
通用 的 气象 信息 系统 。 

当 对 系统 与 其 环境 之 间 的 交互 进行 建 模 时 ， 应当 
使 用 一 种 不 包含 太 多 细节 的 抽象 的 方法 。 其 中 一 种 方 
法 是 使 用 用 况 模 型 。 如 第 4 章 和 第 5 章 所 述 ， 每 个 用 
况 表示 与 系统 的 一 种 交互 。 每 种 可 能 的 交互 都 被 表示 
为 一 个 椭圆 并 进行 命名 ， 参 与 交互 的 外 部 实体 由 一 个 
线条 人 形 来 表示 。 

气象 站 的 用 况 模 型 如 图 7-2 所 示 。 图 中 显示 气象 
站 与 气象 信息 系统 进行 交互 以 报告 气象 数据 以 及 气象 
站 硬件 的 状态 。 此 外 ， 还 包括 与 一 个 控制 系统 的 交 
互 ， 通 过 该 交互 可 以 发 出 特定 的 气象 站 控制 命令 。 线 
条 人 形 在 UML 中 用 于 表示 其 他 系统 以 及 人 用 户 。 








图 7-2 ”气象 站 用 况 










气象 站 用 况 

报告 天 气 一 一 发 送 天 气 数据 到 气象 信息 系统 
报告 状态 一 一 发 送 状态 信息 到 气象 信息 系统 
重启 一 一 如 果 气 象 站 被 关闭 了 ， 那 么 重启 系统 
关闭 一 一 关闭 气象 站 

重 配置 一 一 重 配置 气象 站 软件 

省 电 一 一 将 气象 站 设置 为 节 电 模式 

远程 控制 一 一 发 送 控制 命令 到 任何 气象 站 子 系统 


http://software-engineering-book.com/web/ws-use-cases/ 


这 些 用 况 中 的 每 一 个 都 应 当 使 用 结构 化 自然 语言 进行 描述 。 这 有 助 于 设计 人 员 识 别 系 统 . 
中 的 对 象 并 让 他 们 理解 系统 意图 要 做 什么 。 本 章 会 使 用 一 种 标准 的 格式 来 进行 这 一 描述 ， 其 
中 清晰 地 识别 了 要 交换 什么 信息 、 交 互 如 何 发 起 等 。 如 第 21 ENRE, MARMARA Bit 
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描述 它们 如 何 响应 内 部 或 外 部 激励 的 方式 进行 建 模 。 因 此 ， 激 励 以 及 相关 的 啊 应 应 当 在 描述 
中 进行 列举 。 图 7-3 展示 了 基于 这 种 方法 对 图 7-2 中 的 “报告 天 气 ” 用 况 的 描述 。 


气象 站 

报告 天 气 

气象 信息 系统 、 气 象 站 

气象 站 将 在 收集 阶段 从 各 种 仪器 上 收集 的 气象 数据 的 一 个 汇总 发 送 给 气象 信息 系统 。 所 
发 送 的 数据 包括 最 高 、 最 低 以 及 平均 的 地 面 温 度 和 空气 温度 ; 最 高 、 最 低 以 及 平均 的 气 


E; 最 高 、 最 低 以 及 平均 的 风速 ; 总 降雨 量 ; 以 5 分钟 间 隔 采 样 的 风 问 。 

气象 信息 系统 与 气象 站 之 间 建 立 一 个 微 信 通 信和 链 路 并 请 求 传输 数据 ，。 

汇总 后 的 数据 被 发 送 到 气象 信息 系统 。 

通常 会 让 气象 站 每 小 时 报告 一 次 ， 但 不 同 气象 站 的 报告 频率 可 能 会 有 所 差别 并 且 可 能 在 
未 来 发 生变 化 。 





图 7-3 ”用 况 描 述 ; 报告 天 气 


7.1.2 体系 结构 设计 


软件 系统 和 系统 环境 之 间 的 交互 定义 好 之 后 ， 就 可 以 以 此 为 基础 来 设计 系统 体系 结构 。 
当然 ， 设 计 人 员 需 要 将 这 一 知识 与 自身 关于 体系 结构 设计 原则 的 通用 知识 以 及 更 加 详细 的 领 
域 知识 相 结 合 。 需 要 识别 构成 系统 的 主要 构件 以 及 它们 之 间 的 交互 ， 然 后 要 使 用 一 种 体系 结 
构 模 式 ( 例 如， 分 层 或 客户 - 服务 器 模型 ) 来 设计 系统 的 组 织 结构 。 

气象 站 软件 的 高 层 体系 结构 设计 如 图 7-4 所 示 。 气 象 站 由 一 些 独 立 的 子 系统 组 成 ， 包 
括 故 障 管理 器 (Fault manager) 子 系统 、 配 置 管理 咒 (Configuration manager) 子 系统 、 电 
源 管 理 器 (Power manager) 子 系 统 、 通 信 (Communications) 子 系统 、 数 据 收 集 (Data 
collection) 子 系统 、 仪 器 (Instruments) 子 系统 。 这 些 子 系统 通过 在 公共 基础 设施 上 广播 消 
息 来 进行 通信 ， 如 图 7-4 中 的 通信 (Communication) 链 路 所 示 。 每 个 子 系统 都 会 在 该 基础 
设施 上 监听 消息 并 选取 与 它们 相关 的 消息 。 这 一 “监听 器 模型 ”是 一 种 广泛 使 用 的 分 布 式 系 
统 体系 结构 风格 。 


= 
«subsystem» «subsystem» «subsystem» 
Fault manager Configuration manager Power manager 


Communication link 


—_— = —— 
«subsystem» «subsystem» «subsystem» 
Communications Data collection Instruments 
7-4 气象 站 的 高 层 体系 结构 


当 通 信子 系统 收 到 一 个 控制 命令 (例如 关闭 ) 时 ， 其 他 每 个 子 系统 也 将 获得 该 命令 ， 这 
些 子 系统 接收 者 会 执行 命令 (例如 ， 按 照 正确 的 方式 关闭 自身 )。 这 一 体系 结构 的 关键 优点 是 
很 容易 支持 不 同 的 子 系统 配置 ， 因 为 一 条 消息 的 发 送 者 不 需要 指定 接收 该 消息 的 特定 子 系统 。 
图 7-5 展示 了 图 7-4 中 所 包含 的 数据 收集 子 系统 的 体系 结构 。 其 中 的 发 送 器 ( Transmitter ) 
和 接收 器 ( Receiver) 对 象 关注 通信 管理 ， 而 气象 数据 ( WeatherData) AMF MAN ae AL 
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里 收集 并 传送 给 气象 信息 系统 的 信息 。 这 一 设计 遵循 了 生产 者 - 消费 者 模式 ， 如 第 21 章 所 述 。 
7.1.3 对象 类 识别 


| 在 设计 过 程 的 这 个 阶段 之 前 ， 关 于 
你 所 设计 的 系统 中 所 包含 的 重要 对 象 你 
应 该 已 经 有 了 一 些 想 法 。 随 着 你 对 设计 
的 理解 进一步 加 深 ， 要 对 这 些 关 于 系统 
对 象 的 想法 进行 精 化 。 用 况 描述 帮助 你 
识别 系统 中 的 对 象 和 操作 。 从 “报告 天 
气 ” 用 况 的 描述 中 可 以 很 清楚 地 看 到， 
你 将 要 实现 表示 收集 气象 数据 的 各 种 仪器 的 对 象 以 及 一 个 表示 气象 数据 汇总 的 对 象 。 通 常 你 
还 会 需要 一 个 高 层 的 系统 对 象 或 者 用 来 封装 用 况 中 所 定义 的 系统 交互 的 对 象 。 脑 海中 有 了 这 
些 对 象 之 后 ， 便 可 以 开始 识别 系统 中 的 通用 对 象 类 。 

随 着 20 世纪 80 年 代 面 向 对 象 设 计 的 发 展 ， 出 现 了 不 同 的 识别 面向 对 象 系统 中 对 象 类 的 
方法 ， 例 如 下 面 这些 。 

1. 对 所 要 构建 的 系统 的 自然 语言 描述 进行 语法 分 析 。 对 象 和 属性 是 名 词 ; 操作 或 服务 是 
动词 (Abbott 1983 ) 。 

2. 使 用 应 用 领域 中 有 形 的 实体 或 事物 (例如 飞机 )、 和 角色 (例如 经 理 )、 事 件 (例如 请 求 )、 
交互 (例如 会 议 )、 位置 (例如 办 公 室 )、 组 织 单 元 (例如 公司 ) 等 (Wirfs-Brock, Wilkerson, 
and Weiner 1990 ) 。 

3. 使 用 一 种 基于 场景 的 分 析 方 法 ， 其 中 依次 识别 并 分 析 系 统 使 用 的 各 种 场景 。 分 析 每 
个 场景 时 ， 负 责 分 析 的 团队 必须 识别 所 需要 的 对 象 、 属 性 以 及 操作 〈 了 Beck and Cunningham 
1989 ) 。 

在 实践 中 ， 你 必须 使 用 多 种 知识 源 来 发 现 对 象 类 。 最 初 从 非 正 式 的 系统 描述 中 所 识别 出 
的 对 象 类 、 属 性 和 操作 可 以 成 为 设计 的 起 点 。 接 下 来 ,来 自 应 用 领域 知识 或 场景 分 析 的 信息 
可 以 用 于 精 化 和 扩展 初始 的 对 象 。 这 些 信息 可 以 从 需求 文档 、 与 用 户 的 讨论 或 者 对 现 有 系统 
的 分 析 中 收集 到 。 除 了 表示 系统 外 部 实 
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体 的 对 象 ， 还 必须 设计 出 用 于 提供 通用 
服务 (例如 ， 搜 索 和 正确 性 检查 ) 的 “ 实 
MIR” o 

在 野外 气象 站 中 ， 对 象 识别 是 基于 
系统 中 有 形 的 硬件 。 由 于 篇 幅 原 因 ， 这 里 
无 法 列举 所 有 的 系统 对 象 。 图 7-6 中 展示 
了 5 个 对 象 类 。Ground thermometer (地 
面 温度 计 )、Anemometer (风速 计 ) 和 
Barometer (气压 计 ) 对 象 是 应 用 领域 对 象 ， 
WeatherStation (气象 站 ) 和 WeatherData ( 气 
象 数 据 ) 对 象 是 从 系统 描述 和 场景 (用 
况 ) 描述 中 识别 出 来 的 。 

1. WeatherStation 对 象 类 提供 了 气 
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象 站 及 其 环境 的 基本 接口 。 它 的 操作 基于 图 7-3 中 所 示 的 交互 。 这 里 使 用 单个 对 象 类 ， 其 中 
包括 所 有 这 些 交互 。 也 可 以 将 系统 接口 设计 为 多 个 不 同 的 类 ， 每 个 类 对 应 一 个 交互 。 

2. WeatherData 对 象 类 负责 处 理 报告 天 气 的 命令 。 它 将 来 自 气象 站 仪器 的 汇总 数据 发 送 
到 气象 信息 系统 。 

3. Ground thermometer, Anemometer 和 Barometer 对 象 类 直接 与 系统 中 的 仪器 相关 
联 。 它 们 反映 了 系统 中 有 形 的 硬件 实体 ， 而 它们 的 操作 关注 控制 这 些 硬件 。 这 些 对 象 自治 
地 运行 ， 按 照 指 定 的 频率 收集 数据 ， 并 在 本 地 保存 所 收集 的 数据 。 这 些 数据 在 请 求 时 提供 给 
WeatherData WA. 

可 以 使 用 应 用 领域 知识 来 识别 其 他 对 象 、 属 性 和 服务 。 

1. 气象 站 经 党 位 于 偏远 的 地 方 ， 而 且 所 部 署 的 各 种 仪器 有 时 会 坏 。 仪 硕 失 效应 当 自 动 报 
告 。 这 意味 着 你 需要 用 于 检查 这 些 仪器 是 否 正 确 工作 的 属性 和 操作 。 

2. 有 许多 远程 气象 站 ， 因 此 每 个 气象 站 应 当 有 自己 的 标识 符 以 便 在 通信 过 程 中 进行 唯一 
标识 。 

3. 由 于 气象 站 是 在 不 同 的 时 间 安 装 的 ,， 仪 希 的 类 型 可 能 会 不 一 样 。 因 此， 每 个 仪器 也 应 
当 被 唯一 标识 ， 并 且 应 当 要 维护 一 个 仪器 信息 数据 库 。 

在 这 个 设计 过 程 阶段 中 ， 你 应 当 关 注 对 象 自身 ， 不 需要 考虑 这 些 对象 要 如 何 实现 。 一 且 
识别 出 这 些 对 象 后 ， 可 以 再 对 这 些 对 象 设 计 进 行 精 化 。 你 会 发 现 共 性 的 特征 ， 然 后 为 系统 设 
计 继 承 层 次 。 例 如 ， 你 会 识别 出 一 个 Instrument (仪器 ) 父 类 ， 其 中 定义 了 所 有 仪器 的 共性 
特征 (例如 ， 一 个 标识 符 、 读 取信 息 操 作 、 测 试 操作 等 )。 你 还 可 以 向 父 类 中 增加 新 的 属性 
和 操作 ， 例 如 ， 一 个 记录 数据 应 当 多 久 收 集 一 次 的 属性 。 


7.1.4 设计 模型 


设计 或 系统 模型 ， 如 第 5 章 中 所 述 ， 展 示 了 一 个 系统 中 的 对 象 或 者 对 象 类 ， 还 展示 了 
这 些 实体 之 间 的 关联 和 关系 。 这 些 模 型 是 系统 需求 和 系统 实现 之 间 的 桥梁 。 它 们 必须 是 抽象 
的 ， 以 使 得 不 必要 的 细节 不 会 隐藏 它们 和 系统 需求 之 间 的 关系 。 然 而 ， 模 型 还 必须 包含 足够 
的 细节 ， 以 使 得 程序 员 可 以 做 出 实现 决策 。 

一 个 设计 模型 所 需要 的 详细 程度 取决 于 开发 人 员 所 使 用 的 设计 过 程 。 由 于 需求 工程 师 、 
设计 人 员 和 程序 员 之 间 存 在 密切 的 联系 ， 抽 象 模型 可 能 就 是 所 有 所 需要 的 东西 。 特 定 的 设计 
决策 可 能 会 在 系统 实现 时 做 出 ， 其 中 的 问题 通过 非 正式 的 讨论 来 解决 。 与 之 相似 ， 如 果 使 用 
敏捷 开发 ， 在 一 个 白板 上 夯 出 概要 的 设计 模型 可 能 就 足以 提供 所 有 所 需要 的 信息 。 

然而 ， 如 果 使 用 的 是 一 个 基于 计划 的 开发 过 程 ， 你 可 能 需要 更 详细 的 模型 。 如 果 需 求 工 
程 师 、 设 计 人 员 和 程序 员 之 间 仅 有 间接 联系 例如， 一 个 系统 在 一 个 组 织 的 某 个 部 门 进行 设 
计 但 在 其 他 地 方 实现 )， 那 么 需要 详细 的 设计 描述 以 便于 沟通 。 此 时 要 使 用 从 高 层 的 抽象 模 
型 中 派生 出 来 的 详细 模型 ， 从 而 使 所 有 的 团队 成 员 对 于 设计 有 一 个 共同 的 理解 。 

因此 ， 设 计 过 程 中 的 一 个 重要 的 步骤 是 决定 所 需要 的 设计 模型 以 及 这 些 模 型 所 需要 的 详 
细 程 度 。 这 取决 于 所 开发 的 系统 的 类 型 。 一 个 顺序 性 的 数据 处 理 系统 与 一 个 嵌入 式 实 时 系统 
就 很 不 一 样 ， 因 此 需要 使 用 不 同类 型 的 设计 模型 。UML 支持 13 种 不 同类 型 的 模型 ， 但 是 正 
如 第 5 章 中 所 说 的 ， 这 些 模 型 中 很 多 都 没有 得 到 广泛 使 用 。 尽 量 减少 所 产生 的 模型 的 数量 可 
以 降低 设计 的 成 本 以 及 完成 设计 过 程 所 需 的 时 间 。 

当 使 用 UML 来 开发 一 个 设计 时 ， 应 当 开 发 以 下 两 类 设计 模型 。 
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结构 模型 ， 使 用 静态 类 及 其 关系 描述 系统 的 静态 结构 。 这 个 阶段 需要 描述 的 重要 的 关 
系 类 型 包 插 泛 化 (继承) 关系 、 使 用 / 被 使 用 关系 、 组 合 关 系 。 

2. 动态 模型 ， 描 述 了 系统 的 动态 结构 并 展示 了 所 期 望 的 系统 对 象 之 间 的 运行 时 交互 。 可 
以 描述 的 交互 包括 对 象 发 出 的 服务 请 求 的 序列 以 及 由 这 些 对 象 交 互 所 触发 的 状态 变化 。 

以 下 3 种 UML 模型 对 于 增加 用 况 和 体系 结构 模型 的 细节 特别 有 用 。 

1. 子 系统 模型 ， 展示 了 如 何 对 对 象 进行 逻 辑 分 组 以 构成 内 聚 的 子 系统 。 这 些 可 以 使 
用 一 种 类 图 的 形式 来 表示 ， 其 中 每 个 子 系统 表示 为 一 个 包含 对 象 的 包 。 子 系统 模型 是 结构 
模型 。 

2. 顺序 模型 ， 展 示 了 对 象 的 交互 序列 。 这 些 可 以 使 用 UML 顺序 图 或 协作 图 来 表示 。| 
序 模型 是 动态 模型 。 

3. 状态 机 模型 展示 了 对 象 如 何在 事件 响应 中 改变 上 自己 的 状态 。 这 些 可 以 使 用 UML 状 
态 图 来 表示 。 状 态 机 模型 是 动态 模型 。 

子 系统 模型 是 一 种 有 用 的 静态 模型 ， 展 示 了 如 何 将 一 个 设计 组 织 为 逻辑 上 相关 的 对 象 
组 ;图 7-4 中 展示 了 这 种 类 型 的 模型 ， 其 中 展示 的 是 气象 站 系统 中 的 子 系统 。 除 了 子 系统 模 
型 ， 还 可 以 设计 详细 的 对 象 模 型 ， 展 示 系 统 中 的 对 象 以 及 它们 的 关联 关系 (继承 、 泛 化 、 聚 
集 等 )。 然 而 ， 进 行 太 多 的 建 模 存在 危险 。 不 应 当 在 此 时 做 出 关于 实现 的 详细 决策 ， 这 些 决 
末 最 好 留 到 系统 实现 时 由 考虑 。 

顺序 模型 是 动态 模型 ， 描 述 了 每 个 交互 模式 下 所 发 生 的 对 象 交 互 序 列 。 当 描述 一 个 设计 
时 ， 应 当 为 每 个 有 意义 的 交互 产生 一 个 序列 模型 。 如 果 已 经 开发 了 一 个 用 况 模 型 ， 那么 每 一 
个 所 识别 出 的 用 况 都 应 该 有 一 个 顺 友 模型 。 

图 7-7 是 一 个 顺序 模型 的 例子 ， 表 示 为 一 个 UML 顺序 图 。 这 个 图 展示 了 当 一 个 外 部 系 
统 问 气象 站 请 求 汇总 数据 时 发 生 的 交互 序列 。 顺 序 图 要 从 上 到 下 阅读 。 

1. SatComms (气象 站 命令 ) 对 象 接收 来 目 气 象 信 息 系 统 的 请 求 ， 要 求 从 一 个 气象 站 收 
集 一 个 气象 报告 。 它 确认 收 到 该 请 求 。 发 送 消息 上 的 线形 箭头 表示 外 部 系统 不 会 等 竺 回复 
而 是 可 以 继续 进行 其 他 处 理 。 

2. SatComms 对 象 通过 一 个 卫星 链 路 发 送 消息 给 WeatherStation (气象 站 ) 对 象 以 创建 一 
个 所 收集 的 气象 数据 的 汇总 。 同 样 ， 这 里 的 线形 咎 头 表 示 SatComms 对 象 不 用 挂 起 目 己 以 等 
待 回复 。 

3. WeatherStation 对 象 发 送 一 个 消息 给 Commslink (通信 和 链 路 ) 对 象 以 汇总 气象 数据 。 
在 这 种 情况 下 ,， 三 角形 箭头 表示 WeatherStation 对 象 类 的 实例 需要 等 竺 回复 。 

4. Commslink 对 象 调 用 WeatherData (气象 数据 ) 对 象 的 汇总 方法 并 等 竺 回复。 

5. 气象 数 据 汇 总 被 计算 出 来 ， 并 通过 Commslink 对 象 返 回 给 WeatherStation 对 象 。 

6. WeatherStation 对 象 接 着 调用 SatComms 对 象 ， 将 汇总 后 的 数据 通过 卫星 通信 系统 传 
送 给 气象 信息 系统 。 

SatComms 和 WeatherStation 对 和 象 可 以 被 实现 为 并 发 的 进程 ， 它 们 的 执行 可 以 被 挂 起 和 
恢复 。SatComms 对 象 实例 监听 来 自 外 部 系统 的 消息 ， 对 这 些 销 息 进 行 解码 ， 并 初始 化 气象 
站 操作 。 

顺序 图 被 用 于 对 一 组 对 象 的 组 合 行为 进行 建 模 ， 但 是 你 可 能 还 想 按照 消息 或 事件 对 一 个 
对 象 或 子 系统 的 行为 进行 总 结 。 为 此 ， 可 以 使 用 一 个 状态 机 模型 来 展示 对 象 实例 如 何 根据 所 
收 到 消息 改变 状态 。 如 第 5 章 所 述 ，UML 包括 描述 状态 机 模型 的 状态 图 。 
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图 7-7 描述 数据 收集 的 顺序 图 
图 7-8 是 一 个 气象 站 系统 的 状态 图 ， 其 中 展示 了 该 系统 如 何 响应 各 种 不 同 的 服务 请 求 。 
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图 7-8 气象 站 状态 图 


可 以 按照 以 下 方式 阅读 图 7-8。 

1. 如 果 系 统 状 态 是 Shutdown (关闭 )， 那 么 可 以 对 restart, reconfigure() 或 powerSave() 
消息 进行 啊 应 。 这 有 黑色 圆 点 的 没有 标签 的 箭头 表示 Shutdown 状态 是 初始 状态 。restart() 
消息 使 得 状态 转换 为 正常 运行 状态 。powerSavée() 和 reconfigure() 消息 都 会 使 系统 转换 为 
对 上 自身 进行 重 配置 的 状态 。 此 状态 图 显示 ， 只 有 在 系统 已 经 关闭 的 情况 下 才 人 允许 进行 重 
配置 。 

2. 在 Running (运行 ) 状态 下 ， 系 统 期 待 进一步 的 消息 。 如 果 收 到 了 shutdown() 消息 ， 
那么 对 象 返 回 关闭 状态 。 

3. 如 果 收 到 reportWeather() 消息 ， 那 么 系统 进入 Summarizing (汇总 ) 状态 。 当 汇总 完 
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成 后 ， 系 统 进 入 Transmitting (AIK) 状态 ， 在 此 状态 下 信息 被 发 送 给 远程 系统 。 然 后 系统 
返回 Running 状态 。 

4. 如 果 收 到 一 个 来 自 时 钟 的 信号 ， 那 么 系统 会 进入 Collecting (收集 ) 状态 ， 在 此 状态 
下 系统 收集 来 目 仪 硕 的 数据 。 每 个 仪 右 按 顺 序 接 受 指 令 收集 来 目 相关 联 的 传 感 融 的 数据 。 

5. 如 果 收 到 remoteControl() 消息 ， 那 么 系统 进入 一 个 受 控 的 状态 ， 在 此 状态 下 系统 对 
男 一 组 来 自 远 程控 制 室 的 消息 进行 应 答 。 这 些 没 有 在 图 中 显示 。 状 态 图 是 很 有 用 的 一 种 系统 
或 对 象 操 作 的 高 层 模型 。 

然而 并 不 是 系统 中 的 所 有 的 对 象 都 需要 一 个 状态 图 。 一 个 系统 中 的 许多 系统 对 象 都 很 简 
单 ， 它 们 的 操作 可 以 很 容易 地 在 不 使 用 状态 模型 的 情况 下 进行 描述 。 


7.1.5 “接口 规格 说 明 


设计 过 程 的 一 个 重要 部 分 是 设计 中 所 包含 的 构件 之 间 的 接口 的 规格 说 明 。 你 需要 刻画 接 
口 的 规格 说 明 ， 以 使 得 对 象 和 子 系统 并 行进 行 设计 。 一 旦 确定 了 一 个 接口 的 规格 说 明 ， 其 他 
对 象 的 开发 者 可 以 假设 该 接口 将 会 被 实现 。 i 

接口 设计 关注 刻画 一 个 对 象 或 一 组 对 象 的 接口 的 细节 。 这 意味 着 要 定义 由 一 个 对 象 或 
者 一 组 对 象 所 提供 服务 的 型 构 (signature) 和 语义 。 接 口 在 UML 中 可 以 用 类 图 一 样 的 表 
示 法 来 刻画 。 然 而 ， 接 口 没有 属性 部 分 ， 而 名 称 部 分 应 当 包 含 UML 构造 型 stereotype) 
«interface»。 接 口 的 语义 可 以 使 用 对 象 约束 语言 (Object Constraint Language, OCL) 来 定义 。 
第 16 草 中 将 会 讨论 OCL 的 使 用 ， 其 中 会 解释 可 以 如 何 使 用 OCL 来 描述 构件 的 语义 。 

接口 设计 不 应 当 在 一 个 接口 设计 中 包含 数据 表示 的 细节 ， 因 为 一 个 接口 规格 说 明 中 并 不 
会 定义 属性 。 然 而 ， 接 口 设 计 应 当 包 含 访问 和 更 新 数据 的 操作 。 由 于 数据 表示 被 隐藏 了 ， 因 
此 可 以 在 不 影响 使 用 该 数据 的 对 象 的 情况 下 很 容易 地 修改 数据 表示 。 这 样 产生 的 设计 从 内 在 
上 讲 可 以 具有 更 好 的 可 维护 性 。 例 如 ， 一 个 堆栈 的 数组 ( array) 表示 可 以 在 不 影响 使 用 堆栈 
的 其 他 对 象 的 情况 下 改 为 列表 (list) 表示 。 与 之 相对 应 的 ， 一 个 对 象 模型 中 的 属性 通常 都 应 


对 象 与 接口 之 间 并 不 是 简单 的 一 对 一 关系 。 同 一 对 象 可 以 有 多 个 接口 ， 其 中 每 个 接口 都 
是 一 个 对 于 该 对 象 所 提供 的 方法 的 视角 。 这 一 点 在 Java 中 可 以 直接 得 到 支持 ， 其 中 接口 是 
独立 于 对 象 进行 声明 的 ， 而 对 象 会 “实现 ”接口 。 同 样 ， 一 组 对 象 也 可 以 通过 单个 接口 一 起 
访问 到 。 

图 7-9 展示 了 为 气象 站 定义 的 两 个 接口 。 左 侧 的 接口 是 一 个 报告 (Reporting) 接口 ， 定 
义 了 用 于 生成 气象 和 状态 报告 的 操作 的 名 称 。 这 些 直接 与 WeatherStation 对 象 中 的 操作 相对 
Mo Witz mh] (Remote Control) 接口 提供 了 4 个 操作 ， 它 们 映射 到 WeatherStation 对 象 的 同 
一 个 方法 上 。 在 这 个 例子 中 ， 每 个 不 同 的 操作 都 是 在 与 remoteControl 方法 相关 联 的 命令 字 
符 串 中 进行 编码 的 ， 如 图 7-6 所 示 。 


«interface» 
«interface» Remote Control 
Reporting Yo 2 a a 


startinstrument(instrument); iStatus 
weatherReport (WS-Ident): Wreport stopInstrument (instrument): iStatus 
statusReport (WS-Ident): Sreport collectData (instrument): iStatus 


provideData (instrument ): string 


图 7-9 气象 站 接口 
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7.2 设计 模式 


设计 模式 是 从 Christopher Alexander (Alexander 1979 ) 所 提出 思想 中 派生 出 来 的 ， 他 认 
为 建筑 设计 中 存在 一 定 的 共性 模式 ， 这 些 模式 令 人 喜欢 并 且 有 效 。 模 式 是 一 种 对 于 问题 及 其 
解决 方案 的 本 质 的 描述 ， 从 而 使 得 解决 方案 可 以 在 不 同 的 环境 中 进行 复 用 。 模 式 不 是 一 种 详 
细 的 规格 说 明 ， 应 当 将 模式 理解 为 一 种 对 于 逐渐 累积 的 智慧 和 经 验 的 描述 ， 一 种 对 某 个 共性 
问题 的 经 过 成 功 尝 试 的 解决 方案 。 

下 面 这 段 话 引 自 Hillside 小 组 的 网 站 ( hillside.net/patterns/)， 该 网 站 专门 维护 关于 模式 
的 信息 。 其 中 描述 了 模式 在 复 用 中 的 角色 : 

模式 和 模式 语言 是 描述 最 佳 实践 、 好 的 设计 的 方式 ， 其 中 捕捉 了 相关 的 经 验 ， 从 而 使 其 
他 人 复 用 这 些 经 验 成 为 可 能 "。 

模式 对 于 面 问 对 象 软件 设计 已 经 产生 了 巨大 的 影响 。 除 了 作为 针对 共性 问题 的 经 过 
验证 的 解决 方案 之 外 ， 模 式 还 已 经 成 为 一 种 谈论 设计 的 词汇 表 。 因 此 ， 可 以 通过 摘 述 你 所 
使 用 的 模式 来 解释 你 的 设计 。 最 著名 的 例子 是 由 Gamma 等 人 (被 称 为 “四 人 帮 ”) 在 他 们 
1995 年 出 版 的 关于 模式 的 书 (Gamma et al. 1995 ) 中 所 描述 的 那些 最 著名 的 设计 模式 。 其 
他 重要 的 模式 描述 还 包括 由 来 自 西 门 子 (一 个 大 型 的 欧洲 技术 公司 ) 的 作者 所 出 版 的 一 系列 
+ ( Buschmann et al. 1996; Schmidt et al. 2000; Kircher and Jain 2004; Buschmann, Henney, 
and Schmidt 2007a, 2007b). 

Risk ce ARAH a A Ae ck. WIR AS A Te] MY RIT AA 
联 。 广 泛 发 布 的 模式 经 常 依赖 于 继承 和 多 态 等 对 象 特 性 来 提供 通用 性 。 然 而 ， 在 模式 中 封装 
经 验 这 一 通用 原则 可 以 同样 适用 于 任何 类 型 的 软件 设计 。 例 如 ， 你 可 以 拥有 针对 实例 化 可 复 
用 的 应 用 系统 的 配置 模式 。 

Gamma 等 人 在 他 们 关于 模式 的 书 中 定义 了 设计 模式 的 4 个 基本 元 素 。 

1. 一 个 名 字 ， 作 为 对 模式 的 有 意义 的 参照 。 

2. 一 个 问题 域 的 描述 ， 解 释 了 该 模式 何 时 适用 。 

3. 一 个 对 于 设计 解决 方案 的 各 个 部 分 、 它 们 之 间 的 关系 以 及 它们 的 职责 的 描述 。 这 并 不 
是 一 个 具体 的 设计 描述 ， 这 是 一 个 设计 解决 方案 的 模板 ， 可 以 以 不 同 的 方式 进行 实例 化 。 模 
板 经 常 可 以 通过 图 形 化 的 方式 进行 表达 ， 展 示 解 决 方案 中 的 对 象 和 对 象 类 之 间 的 关系 。 

4. 一 个 对 效果 的 陈述 一 一 应 用 该 模式 的 结果 以 及 权衡 。 这 有 助 于 设计 者 理解 一 个 模式 是 
否 可 以 用 于 某 个 特定 的 情形 中 。 | 

Gamma 及 其 合 著者 将 问题 描述 分 解 为 动机 (对 于 模式 为 什么 有 用 的 一 种 描述 ) Ae 
性 (对 于 该 模式 可 以 使 用 的 情形 的 描述 )。 在 解决 方案 的 描述 下 ， 他 们 刻画 了 模式 结构 、 参 
与 者 、 协 作 以 及 实现 。 

为 了 展示 模式 的 描述 ， 这 里 使 用 Gamma 等 人 设计 模式 的 书 中 的 观察 者 ( Observer) 模 
式 作 为 例子 进行 介绍 ， 如 图 7-10 所 示 。 这 个 描述 中 包含 了 前 面 提 到 的 4 个 基本 描述 元 素 ， 
同时 对 于 这 个 模式 可 以 做 什么 进行 了 简要 的 陈述 。 这 个 模型 可 以 用 于 需要 以 不 同 的 方式 展示 
一 个 对 象 的 状态 的 情形 。 该 模式 将 必须 展示 的 对 象 与 它 的 不 同 展示 形式 分 离开 了 。 这 一 点 在 
图 7-11 中 有 所 体现 ， 其 中 展示 了 同一 个 数据 集 的 两 种 不 同 的 图 形 化 呈现 方式 。 
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模式 名 称 : 观察 者 

描述 : 将 一 个 对 象 的 状态 的 呈现 与 对 和 象 本 身分 离开 ， 人 允许 为 对 象 提 供 不 同 的 呈现 方式 。 当 对 象 状 
态 变化 时 ， 所 有 的 呈现 都 会 自动 得 到 通知 并 进行 更 新 以 反映 变化 。 

问题 描述 ;在 很 多 情况 下 你 都 必须 为 状态 信息 提供 多 种 呈现 方式 ， 例 如 ， 一 个 图 形 化 呈现 方式 和 
一 个 表格 呈现 方式 。 这 些 呈 现 方式 在 对 信息 进行 规格 说 明 时 并 不 都 是 已 知 的 。 所 有 不 同 的 呈 
现 方 式 都 应 该 支持 交互 ， 在 状态 发 生变 化 时 所 有 呈现 都 必须 更 新 。 
这 个 模式 的 使 用 情形 是 ， 状 态 信 息 需要 不 止 一 种 呈现 方式 ， 并 且 维 护 状 态 信息 的 对 象 不 需要 
知道 所 使 用 的 特定 的 呈现 格式 。 

解决 方案 描述 ; 解决 方案 包括 两 个 抽象 对 象 Subject (主题 ， 即 被 观察 者 ) 和 Observer (W 
察 者 )， 以 及 两 个 继承 了 相关 抽象 对 象 属性 的 具体 对 象 ConcreteSubject (具体 主题 ) 和 
ConcreteObserver (具体 观察 者 )。 抽 象 对 象 包括 适用 于 所 有 情形 的 通用 操作 。 需 要 呈现 的 状 
态 在 ConcreteSubject 中 进行 维护 ， 该 对 象 继承 了 Subject 的 操作 从 而 允许 该 对 象 增加 和 移 除 
观察 者 (每 个 观察 者 对 应 一 种 呈现 方式 ) 以 及 在 状态 发 生变 化 时 发 出 通知 。 
ConcreteObserver 维护 了 ConcreteSubject 状态 的 一 份 拷贝 ， 并且 实 现 了 Observer 的 Update( ) 
接口 ， 该 接口 允许 这 些 拷贝 能 够 被 同步 更 新 。ConcreteObserver 自动 呈现 状态 并 在 任何 时 候 当 
状态 更 新 时 自动 反映 变化 。 
该 模式 的 UML 模型 如 图 7-12 所 示 。 

效果 : 主题 对 象 只 知道 抽象 的 观察 者 对 象 ， 而 不 知道 具体 类 的 细节 。 因 此 ， 这 些 对 象 之 间 的 耦合 
被 最 小 化 了 。 由 于 缺少 这 些 知 识 ， 提 高 呈现 性 能 的 优化 可 能 无 法 实现 。 对 主题 对 象 的 变化 可 
能 导致 生成 与 之 相关 的 针对 观察 者 的 一 组 更 新 ， 而 其 中 一 些 可 能 并 没有 必要 。 





图 7-10 ”观察 者 模式 


Observer | 





图 7-11 多 种 呈现 方式 


Observer 
Attach (Observer) 


Update () 
Detach (Observer) for all o in observers Update 


Notify () --------+Ẹ-- o -> Update () /\ 
























ConcreteSubject ConcreteObserver 
a = ES 

observerState = 
GetState () 一 “| subject -> GetState () 


subjectState . observerState 





图 7-12 ”观察 者 模式 的 UML 模型 
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为 了 在 设计 中 使 用 模式 ， 你 需要 认识 到 你 所 面 对 的 任何 设计 问题 都 可 能 会 有 一 个 与 之 相 
关联 、 可 以 应 用 的 模式 。Gamma 等 人 关于 设计 模式 的 书 中 描述 了 以 下 这 些 关于 这 种 问题 的 
例子 。 

1. 向 多 个 对 象 告知 一 些 其 他 对 象 的 状态 发 生 了 变化 (观察 者 模式 )。 

2. 整理 面向 一 些 相 关 的 且 经 常 是 增 量 地 开发 出 来 的 对 象 的 接口 (门面 模式 )。 

3. 为 一 个 合集 (collection) 中 的 元 素 提 供 一 种 标准 的 访问 方式 ， 不 用 考虑 合集 是 如 何 实 
现 的 〈 和 迭代 器 模式 )。 

4. 允许 在 运行 时 扩展 一 个 已 有 的 类 的 功能 (装饰 者 模式 )。 

模式 支持 高 层 的 概念 复 用 。 当 试图 复 用 可 执行 的 构件 时 ， 不 可 避免 地 会 受到 这 些 构 件 的 
实现 中 所 做 出 的 详细 设计 决策 的 约束 和 限制 。 这 些 决 策 范围 很 广 ， 从 已 经 用 于 实现 这 些 构件 
的 特定 算法 到 构件 接口 中 的 对 象 和 类 型 。 当 这 些 设计 决策 与 需求 相 冲 罕 时 ， 可 能 就 无 法 复 用 
该 构件 了 ， 或 者 会 在 复 用 中 引入 问题 。 使 用 模式 意味 着 对 思想 进行 复 用 ， 但 可 以 对 实现 进行 
调整 以 适应 正在 开发 的 系统 。 

当 开始 设计 一 个 系统 时 ， 很 难 提前 知道 是 否 会 需要 某 个 特定 的 模式 。 因 此 ， 在 设计 过 程 
中 使 用 模式 经 常 要 经 过 开发 设计 、 体 验 问题 、 然 后 认识 到 可 以 使 用 某 个 模式 的 过 程 。 如 果 关 
注 最 初 那 本 设计 模式 的 书 中 所 描述 的 23 个 通用 模式 ， 那 么 这 当然 是 可 能 的 。 然 而 ， 如 果 所 
遇 到 的 问题 与 这 些 模式 都 不 一 样 ， 那 么 要 从 已 经 提出 来 的 成 百 上 千 个 不 同 的 模式 中 找到 一 个 
合适 的 模式 ， 会 感到 有 些 困 难 。 

模式 是 伟大 的 思想 ， 但 是 为 了 有 效 地 使 用 它们 还 需要 一 些 软件 设计 经 验 。 你 必须 能 够 认 
识 到 一 个 模式 可 以 被 应 用 的 情形 。 没 有 经 验 的 程序 员 ， 即 使 他 们 已 经 读 过 模式 的 书 ， 也 总 是 
会 发 现 很 难 决 定 是 否 可 以 复 用 某 个 模式 或 者 是 否 需 要 开发 一 个 特殊 目的 的 解决 方案 。 


7.3 实现 问题 


软件 工程 包括 软件 开发 中 所 包含 的 所 有 活动 ， 从 初始 的 系统 需求 直到 部 团 后 的 系统 维护 
和 管理 。 这 个 过 程 中 的 一 个 关键 阶段 当然 是 系统 实现 ， 其 中 会 创建 软件 的 一 个 可 执行 版 本 。 
实现 可 能 会 包括 : 使 用 高 层 或 底层 编程 语言 开发 程序 ， 或 者 对 通用 的 成 品系 统 进行 裁 蓄 和 适 
配 以 满足 一 个 组 织 的 特定 需求 。 

这 里 假设 本 书 的 大 多 数 读 者 都 能 够 理解 编程 原则 ， 并 且 已 经 有 一 些 编程 经 验 。 由 于 本 章 
的 目的 是 提供 一 种 与 语言 无 关 的 方法 ， 因 此 这 里 并 不 会 关注 与 良好 的 编程 实践 相关 的 一 些 问 
题 ， 因 为 这 会 要 求 用 到 一 些 特定 于 语言 的 例子 。 这 里 将 介绍 实现 中 的 一 些 对 软件 工程 尤其 重 
要 并 且 经 党 不 会 在 编程 相关 的 书 中 介绍 的 方面 ， 包 括 如 下 这 些 。 

1. 复 用 。 大 多 数 现代 的 软件 都 是 通过 复 用 已 有 的 构件 或 系统 来 构造 的 。 在 开发 软件 时 ， 
应 该 尽 可 能 多 地 利用 已 有 的 代码 。 

2. 配置 管理 。 在 开发 过 程 中 ， 每 个 软件 构件 都 可 能 会 创建 很 多 不 同 的 版 本 。 如 果 不 用 
一 个 配置 管理 系统 来 保持 对 这 些 版 本 的 追踪 ， 那 么 很 可 能 会 在 系统 中 包含 这 些 构件 的 错误 
版 本 。 

3. 窒 主 机 一 目标 机 开发 。 运 行 生产 软件 的 计算 机 通常 与 软件 开发 环境 中 的 计算 机 并 不 
相同 。 软 件 一 般 都 是 在 一 人 台 计 算 机 上 开发 (宿主 机 ); 而 在 男 一 人 台 计 算 机 上 运行 (目标 机 )。 
条 主 机 和 目标 机 有 时 候 是 同一 种 类 型 ， 但 却 又 经 常 完全 不 同 。 
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从 20 世纪 60 年 代 到 20 世纪 90 年 代 ， 大 多 数 新 软件 都 是 从 头 开 始 开发 的 ， 一 般 都 是 通 
过 使 用 某 种 高 级 编程 语言 编写 所 有 代码 。 唯 一 显著 的 软件 复 用 是 对 编程 语言 库 中 的 功能 和 对 
象 的 复 用 。 然 而 ,成 本 和 进度 压力 使 这 一 方法 越 来 越 不 可 行 ， 特 别 是 对 于 商业 系统 和 基于 互 
联网 的 系统 。 因 此 ， 基 于 复 用 已 有 软件 的 开发 方法 现在 已 经 成 为 许多 不 同类 型 系统 开发 的 基 
本 准则 。 基 于 复 用 的 方法 现在 已 经 在 很 多 领域 得 到 广泛 使 用 ， 包括 所 有 类 型 的 基于 Web 的 
系统 、 科 学 软件 ， 以 及 越 来 越 多 的 庶 人 式 系统 软件 。 

软件 复 用 可 以 在 多 个 不 同 的 级 别 上 发 生 ， 如 图 7-13 所 示 。 


系统 级 


应 用 系统 
(COTS ) 






抽象 级 


体系 结构 模式 
和 设计 模式 


WRB 
图 7-13 ”软件 复 用 


1. 抽象 级 。 在 这 个 级 别 上 ， 并 不 是 直接 复 用 软件 而 是 在 软件 的 设计 中 使 用 关于 一 些 成 功 
的 抽象 的 知识 。 设 计 模 式 和 体系 结构 模式 ( 见 第 6 章 ) 都 是 面向 复 用 的 抽象 知识 表示 的 方式 。 

2. 对 象 级 。 在 这 个 级 别 上 ， 直 接 复 用 来 自 库 中 的 对 象 而 不 是 自己 写 代 码 。 为 了 实现 这 种 
类 型 的 复 用 ， 必 须 找 到 合适 的 库 ， 并 且 确 定 其 中 的 对 象 和 方法 是 否 提供 了 所 需要 的 功能 。 例 
如 ， 如 果 需 要 在 一 个 Java 程序 中 处 理 电子 邮件 消息 ， 那 么 可 以 使 用 JavaMail 库 中 的 对 象 和 
THE « 

3. 构件 级 。 构 件 是 对 象 和 对 象 类 的 合集 ， 它 们 一 起 运行 以 提供 相关 的 功能 和 服务 。 你 
经 常 都 要 通过 增加 一 些 你 自己 的 代码 来 对 构件 进行 适 配 和 扩展 。 一 个 构件 级 复 用 的 例子 是 利 
用 一 个 框架 来 构建 自己 的 用 户 界 面 。 这 种 框架 包含 一 组 实现 事件 处 理 、 显 示 管 理 等 的 通用 对 
象 类 。 需 要 增加 与 显示 数据 之 间 的 连接 并 且 写 代码 来 定义 特定 的 显示 细节 (例如 屏幕 布局 和 
颜色 )。 

4. 系统 级 。 在 这 个 级 别 上 ， 复 用 整个 应 用 系统 。 此 过 程 中 通常 会 包括 对 这 些 系统 的 某 种 
方式 的 配置 。 这 可 以 通过 增加 和 修改 代码 (如 果 你 在 复 用 一 个 软件 产品 线 ) 来 实现 ， 或 者 通 
过 使 用 系统 自身 的 配置 接口 来 实现 。 大 多 数 商 业 化 系统 现在 都 是 用 这 种 方式 构建 的 ， 其 中 会 
对 通用 的 应 用 系统 进行 适 配 和 复 用 。 有 时 候 这 种 方法 还 可 能 会 包括 对 多 个 应 用 系统 的 集成 来 
创建 一 个 新 系统 。 

通过 复 用 已 有 的 软件 ， 可 以 更 快 地 开发 新 系统 ， 而 且 风 险 和 成 本 更 低 。 由 于 被 复 用 的 软 
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件 已 经 在 其 他 应 用 中 得 到 了 验证 ， 它 们 应 该 会 比 新 软件 更 可 靠 。 然 而 ， 还 是 会 有 一 些 与 复 用 
相关 的 成 本 。 

1. 寻找 可 复 用 的 软件 以 及 评价 其 是 否 满足 需要 所 花费 的 时 间 成 本 。 你 可 能 还 必须 对 软件 
进行 测试 以 确保 它 可 以 在 你 的 环境 中 工作 ， 特 别 是 该 环境 与 软件 的 开发 环境 不 一 样 的 时 候 。 

2. 在 适用 的 情况 下 ， 购 买 可 复 用 软件 的 成 本 。 对 于 大 型 的 成 品系 统 ， 这 些 成 本 可 能 会 
很 高 。 

3. 适 配 和 配置 可 复 用 软件 构件 或 系统 以 反映 正在 开发 的 系统 的 需求 的 成 本 。 

4. 可 复 用 软件 元 素 相互 之 间 集 成 (如 果 你 在 使 用 不 同 来 源 的 软件 ) 以 及 与 所 开发 的 新 代 
码 相 集成 的 成 本 。 集 成 来 自 不 同 提 供 者 的 可 复 用 软件 可 能 会 很 难 并 且 代 价 较 高 ， 因 为 这 些 提 
供 者 针对 他 们 各 自 的 软件 将 会 如 何 被 复 用 会 做 出 一 些 相 互 冲突 的 假设 。 

如 何 复 用 已 有 的 知识 和 软件 应 当 是 在 开始 一 个 软件 开发 项 目 时 要 考虑 的 第 一 件 事 情 。 应 
当 在 详细 设计 软件 之 前 考虑 复 用 的 可 能 性 ， 因 为 你 可 能 要 对 自己 的 设计 进行 调整 以 适应 对 已 
有 软件 资产 的 复 用 。 如 第 2 章 所 述 ， 在 一 个 面向 复 用 的 开发 过 程 中 ， 要 搜索 可 复 用 元 素 然后 
修改 需求 和 设计 以 充分 利用 这 些 可 复 用 元 素 。 

由 于 复 用 在 现代 软件 工程 中 的 重要 性 ， 本 书 的 第 三 部 分 用 了 多 个 章节 来 介绍 这 一 主题 
($ 15., 16, 18 È), 


7.3.2 配置 管理 


在 软件 开发 中 ， 变 化 总 是 在 不 断 发 生 ， 因 此 变更 管理 绝对 是 很 重要 的 。 当 多 个 人 参与 软 
件 系统 开发 时 ， 必 须 确 保 团 队 成 员 不 会 干扰 其 他 人 的 工作 。 也 就 是 说 ， 如 果 两 个 人 都 在 开发 
一 个 构件 ， 那 么 他 们 的 修改 必须 进行 协调 ， 和 否则 一 个 程序 员 所 做 的 修改 可 能 会 覆盖 其 他 人 的 
工作 。 此 外 ， 还 要 确保 每 个 人 都 可 以 访问 到 软件 构件 的 最 新 版 本 ， 和 否则 开发 人 员 可 能 要 重 做 
已 经 做 过 的 工作 。 当 一 个 系统 的 新 版 本 出 现 问题 时 ， 必 须 能 够 回 到 该 系统 或 构件 此 前 的 一 个 
可 以 工作 的 版 本 上 。 

顾名思义 ,配置 管理 是 管理 一 个 不 断 变 化 的 软件 系统 的 一 般 过 程 。 配 置 管理 的 目的 是 支 
持 系统 集成 过 程 以 使 所 有 的 开发 者 都 可 以 以 一 种 受 控 的 方式 访问 项 目的 代码 和 文档 ， 找 出 代 
码 和 文档 做 了 哪些 修改 ， 以 及 对 构件 进行 编译 和 链接 来 创建 一 个 系统 。 如 图 7-14 Pras, AA 
以 下 4 个 基本 的 配置 管理 活动 。 





图 7-14 配置 管理 
1. 版 本 管理 ， 为 保持 对 软件 构件 的 不 同 版 本 的 追踪 提供 支持 。 版 本 管理 系统 包括 一 些 
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手段 来 协调 多 个 程序 员 之 间 的 开发 。 这 些 方法 会 阻止 一 个 开发 人 员 和 覆盖 别人 提交 到 系统 中 的 
代码 。 

2. 系统 集成 ， 为 帮助 开发 人 员 定 义 用 于 创建 每 一 个 系统 版 本 的 构件 的 版 本 提供 支持 。 然 
后 ， 这 一 描述 被 用 于 通过 编译 和 链接 所 需要 的 构件 来 自动 构建 一 个 系统 。 

3. 问题 追踪 ， 为 用 户 报告 bug 和 其 他 问题 提供 支持 ,为 所 有 开发 人 员 查 看 谁 在 处 理 这 些 
问题 以 及 问题 何 时 被 修复 提供 文 持 。 

4. 发 布 管理 ， 会 向 客户 发 布 一 个 软件 系统 的 新 版 本 。 发 布 管理 关注 规划 新 发 布 的 功能 并 
为 了 分 发 而 对 软件 进行 组 织 。 

软件 配置 工具 支持 以 上 每 一 个 活动 。 这 些 工 具 通 常安 装 在 一 个 集成 开发 环境 ( 例 
如 Eclipse) 中 。 版 本 管理 可 以 使 用 一 个 版 本 管理 系统 来 支持 ， 例 如 Subversion (Pilato, 
Collins-Sussman, and Fitzpatrick 2008 ) 或 者 Git ( Loeliger and McCullough 2012 )， 它 们 可 
以 支持 多 地 点 、 多 团队 的 开发 。 系 统 集成 支持 可 以 被 构建 到 语言 里 面 或 者 依赖 于 一 个 独立 的 
工具 集 (例如 GNU 的 构建 系统 )。bug 追踪 (bug tracking) 或 问题 追踪 (issue tracking) 系统 
(例如 Bugzilla) 用 于 报告 bug 和 其 他 问题 ,并 且 对 它们 是 否 被 修复 保持 追踪 。 围 绕 Git 系统 
构建 的 一 个 很 全 的 工具 集 列 表 可 以 在 Github (http://github.com) 上 找到 。 

由 于 变更 管理 和 配置 管理 在 专业 化 的 软件 工程 中 的 重要 性 ， 本 书 在 第 25 章 对 它们 进行 
更 加 详细 的 介绍 。 


7.3.3 宿主 机 - 目标 机 开发 


大 多 数 专 业 化 的 软件 开发 都 是 基 宿主 机 目标 机 
于 宿主 机 =- 目标 机 模型 的 (图 7-15 )。 站 

软件 在 一 台 计 算 机 (宿主 机 ) 上 开发 ， 
(BEER — ALA (目标 机 ) 上 运行 ; 
更 泛 化 一 些 的 话 ， 可 以 说 一 个 开发 平台 
(宿主 机 ) 和 一 个 执行 平台 (目标 机 )。 
一 个 平台 不 仅仅 是 硬件 ， 还 包括 所 安装 
的 操作 系统 和 其 他 支持 性 的 软件 (例如 = een! SSCS EAI 
数据 库 管 理 系统 ); 或 者 对 于 开发 平台 图 7-15 宿主 机 - 目标 机 开发 

而 言 ， 一 个 交互 式 的 开发 环境 。 

有 时 候 ， 开 发 平台 和 执行 平台 是 一 样 的 ， 这 使 软件 的 开发 和 测试 可 以 在 同一 台 机 需 上 进 
行 。 因 此 ， 如 果 用 Java 开发 ， 那 么 目标 环境 是 Java 虚拟 机 。 原 则 上 讲 ， 这 个 目标 环境 在 每 
台 计 算 机 上 都 一 样 ， 因 此 程序 应 该 可 以 从 一 台 机 器 迁移 到 另 一 台 机 器 上 。 然 而 ， 特 别 是 对 于 
腻 入 式 系统 和 移动 系统 ， 开 发 和 执行 平台 是 不 一 样 的 ， 需 要 将 所 开发 的 软件 移动 到 执行 平台 
上 进行 测试 ， 或 者 在 开发 机 上 运行 一 个 模拟 需 。 

模拟 器 经 常 在 开发 圣 入 式 系 统 时 使 用 ， 对 硬件 设备 〈 例 如 传感器 ) 以 及 系统 将 被 部 署 的 
环境 中 的 事件 进行 模拟 。 模 拟 顺 加 快 了 车 入 式 系 统 的 开发 过 程 ， 因 为 每 个 开发 人 员 都 可 以 有 
自己 的 执行 平台 ， 而 不 需要 将 软件 下 载 到 目标 硬件 上 。 然 而 ， 模 拟 器 的 开发 很 昂贵 ， 因 此 可 
用 的 模拟 器 通常 都 是 那些 针对 最 流行 的 硬件 体系 结构 的 。 

如 果 目 标 系 统 已 经 安装 了 需要 使 用 的 中 间 件 或 其 他 软件 ， 那 么 要 能 够 使 用 这 些 软件 来 测 
试 系统 。 有 时 候 在 开发 机 上 安装 这 些 软件 是 不 现实 的 ， 即 使 开发 机 和 目标 平台 是 一 样 的 ， 也 
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可 能 因为 许可 证 的 限制 而 无 法 实现 这 一 目的 。 如 果 是 这 种 情况 ， 那 么 需要 将 所 开发 的 代码 转 
移 到 执行 平台 上 ， 从 而 对 系统 进行 测试 。 

软件 开发 平台 应 当 提 供 一 系列 工具 来 文 持 软件 工程 过 程 。 这 些 可 能 会 包括 : 

1. 一 个 允许 开发 人 员 创 建 、 编 辑 和 编译 代码 的 集成 编译 器 以 及 语法 制导 的 编辑 系统 ; 

2. 一 个 语言 调试 系统 ; 

3. 图 形 化 编辑 工具 ， 例 如 编辑 UML 模型 的 工具 ; 

4. 可 以 自动 在 程序 的 新 版 本 上 运行 一 组 测试 的 测试 工具 ， 例 如 JUnit; 

5. 文 持 重 构 和 程序 可 视 化 的 工具 ; 

6. 管理 源 代 码 版 本 以 及 集成 和 构建 系统 的 配置 管理 工具 。 

除了 这 些 标 准 化 的 工具 ， 开 发 系统 还 可 以 提供 更 加 专业 的 工具 ， 例 如 静态 分 析 需 (在 第 
12 章 中 介绍 )。 通 常 ， 面 向 团队 的 开发 环境 还 会 包括 一 个 运行 变更 和 配置 管理 系统 的 共享 服 
务 器 ， 还 可 能 会 有 一 个 支持 需求 管理 的 系统 。 

软件 开发 工具 现在 通 稼 都 会 安装 在 一 个 集成 开发 环境 中 (Integrated Development 
Environment，IDE)。 一 个 集成 开发 环境 是 一 组 位 于 一 些 公 共 框 架 和 用 户 界 面 中 的 支持 软件 
开发 的 不 同方 面 的 软件 工具 。 一 般 而 言 ， 集 成 开发 环境 都 是 支持 使 用 特定 编程 语言 (例如 
Java) 的 开发 。 针 对 特定 语言 的 集成 开发 环境 可 以 是 特别 开发 的 ， 也 可 以 在 通用 集成 开发 环 
境 基 础 上 加 入 特定 的 语言 支持 工具 。 


Om 部 署 图 


UML 部 署 图 显示 了 软件 构件 如 何 物理 地 部 署 在 处 理 器 上 。 也 就 是 说 ， 部 署 图 显示 了 
系统 中 的 硬件 和 软件 以 及 用 于 连接 系统 中 不 同 构件 的 中 间 件 。 从 本 质 上 可 以 认为 ， 部 署 图 
是 一 种 定义 和 描述 目标 环境 的 方式 。 
http://software-engineering-book.com/web/deployment/ 











一 个 通用 的 集成 开发 环境 是 一 个 为 所 开发 的 软件 提供 数据 管理 设施 以 及 允许 各 种 工具 
一 起 工作 的 集成 机 制 的 框架 ， 可 以 容纳 各 种 软件 工具 。 最 广为人知 的 通用 集成 开发 环境 是 
Eclipse 环境 (http:/Wwww.eclipse.org)。 这 个 环境 基于 一 个 插件 体系 结构 ， 从 而 使 其 可 以 面 回 
不 同 的 语言 (例如 Java) 和 应 用 领域 进行 定制 。 因 此 ， 你 可 以 安装 Eclipse， 并 且 通 过 增加 插 
件 来 按照 自己 的 特定 目的 对 其 进行 裁剪 。 例 如 ， 可 以 增加 一 组 插件 以 支持 使 用 Java 的 网 络 
化 系统 开发 (Vogel 2013 )， 或 者 使 用 C HR HITARAR LE. 

作为 开发 过 程 的 一 部 分 ， 需 要 针对 所 开发 的 软件 将 如 何在 目标 平台 上 部 车 做 出 决策 。 这 
对 于 嵌入 式 系统 是 很 直观 的 ， 其 中 目标 机 通常 是 单 台 计算 机 。 然 而 ， 对 于 分 布 式 系统 而 言 ， 
需要 决定 相关 构件 部 署 在 哪些 特定 的 平台 上 。 在 做 出 这 一 决策 时 必须 考虑 如 下 问题 。 

1. 一 个 构件 的 硬件 和 软件 需求 。 如 果 一 个 构件 是 为 一 个 特定 的 硬件 体系 结构 而 设计 的 ， 
或 者 依赖 于 其 他 一 些 软 件 系统 ， 那 么 很 明显 该 构件 要 被 部 署 到 提供 所 需要 的 人 硬件 和 软件 支持 
的 平 合 上 

2. 系统 的 可 用 性 需求 。 高 可 用 性 的 系统 可 能 要 求 将 构件 部 署 到 多 个 平台 上 ， 这 意味 着 如 
果 发 生平 台 失 效 ， 那 么 该 构件 的 其 他 实现 是 可 用 的 。 
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3. 构件 通信 。 如果 有 许多 构件 问 通信 ， 那 么 最 好 将 这 些 构 件 部 署 在 同一 个 平台 上 或 者 部 
加 在 物理 上 相互 接近 的 多 个 平台 上 。 这 样 做 降低 了 通信 延迟 ， 即 一 个 消息 由 一 个 构件 发 出 到 
必 一 个 构件 收 到 消息 之 间 的 延迟 。 

可 以 使 用 UML 部 署 图 来 描述 你 对 于 硬件 和 软件 部 署 的 决策 ， 其 中 可 以 显示 软件 构件 如 
何 分 布 在 不 同 的 硬件 平台 之 上 。 

如 果 你 正在 开发 一 个 散人 式 系 统 ， 你 可 能 不 得 不 考虑 目标 机 的 特性 ， 例 如 ， 它 的 物理 大 
小 、 电 量 、 对 于 传 感 融 事件 的 实时 啊 应 要 求 、 效 用 希 的 物理 特性 以 及 它 的 实时 操作 系统 。 本 - 
书 将 在 第 21 FESPA AK AKT. 


7.4 开源 开发 

开源 开发 是 一 种 软件 开发 方法 ， 其 中 软件 系统 的 源 代 码 被 公开 并 邀请 志愿 者 参加 开发 过 
程 (Raymond 2001 )。 开 源 开 发 源 于 目 由 软件 基金 会 ( Free Software Foundation, www.fsf. 
org)， 他 们 主张 源 代 码 不 应 该 是 私有 的 ， 而 应 该 总 是 面向 用 户 开 放 ,- 使 他 们 可 以 按照 自己 的 
意愿 检查 并 修改 代码 。 其 中 有 一 个 假设 ， 代 码 将 由 一 个 小 的 核心 小 组 而 不 是 代码 的 用 户 进行 
控制 和 开发 。 

开源 软件 通过 使 用 互联 网 来 招募 更 大 规模 的 志愿 开发 人 员 扩 展 了 这 一 思想 。 他 们 中 的 
许多 人 本 身 也 是 代码 的 用 户 。 至 少 在 原则 上 ， 一 个 开源 项 目的 任何 贡献 者 都 可 以 报告 和 修复 
bug， 并 提出 新 的 特征 和 功能 建议 。 然 而 ， 在 实践 中 ， 成功 的 开源 系统 仍然 依赖 于 一 个 核心 
开发 人 员 小 组 来 控制 软件 的 变更 。 

开源 软件 是 互联 网 和 软件 工程 的 支柱 。Linux 操作 系统 是 最 广泛 使 用 的 服务 器 系统 ， 开 
源 的 Apache web 服务 融 也 是 一 样 。 其 他 重要 并 且 得 到 广泛 使 用 的 开源 产品 还 包括 Java, 
Eclipse 集成 开发 环境 、MySQL 数据 库 管理 系统 等 。Android 操作 系统 安装 在 成 百 上 千 万 的 移 
动 设备 上 。 主 要 的 计算 机 产业 巨头 ， 例 如 IBM 和 Oracle， 都 支持 开源 运动 并 且 将 他 们 的 软件 
建立 在 开源 产品 基础 上 。 此 外 ， 还 有 成 千 上 万 的 其 他 没 那么 知名 的 开源 系统 和 构件 可 以 使 用 。 

获取 开源 软件 通常 很 便宜 甚至 是 免费 的 ,你 通常 可 以 免费 下 载 开 源 软 件 。 人 然而， 如果 想 
获得 文档 和 相应 的 支持 ， 那 么 可 能 必须 要 为 此 付费 ,但 是 成 本 通常 相当 低 。 使 用 开源 产品 的 
男 一 个 关键 的 优势 是 广泛 使 用 的 开源 系统 非常 稳定 。 这 些 系统 有 大 量 用 户 自 愿 去 修复 软件 中 
的 问题 ， 而 不 是 把 这 些 问题 报告 给 开发 者 并 等 待 系统 新 的 发 布 版 本 。bug 的 发 现 和 修复 通常 
要 比 私有 软件 要 快 。 

对 于 参与 软件 开发 的 公司 而 言 ， 有 两 个 关于 开源 的 问题 是 必须 要 考虑 的 。 

1. 正在 开发 的 产品 应 该 利用 开源 构件 吗 ? 

2. 应 该 使 用 开源 的 方法 来 开发 目 己 的 软件 吗 ? 

对 于 这 些 问题 的 回答 取决 于 所 开发 的 软件 的 类 型 以 及 开发 团队 的 背景 和 经 验 。 如 果 正 在 
开发 一 个 用 于 销售 的 软件 产品 ， 那 么 上 市 时 间 和 降低 成 本 是 很 重要 的 。 如 果 正 在 一 个 存在 可 
用 的 高 质量 开源 系统 的 领域 中 开发 软件 ， 那 么 可 以 通过 使 用 这 些 系统 来 节省 时 间 和 费用 。 然 
而 ， 如 果 你 正在 针对 一 组 特定 的 组 织 需求 开发 软件 ， 那 么 使 用 开源 构件 可 能 不 是 一 个 可 行 的 
选项 。 你 可 能 必须 要 将 你 的 软件 和 已 有 的 与 可 用 的 开源 系统 不 兼容 的 系统 相 集成 。 然 而 ， 即 
使 这 样 ， 修 改 开 源 系 统 也 比重 新 开发 所 需要 的 功能 更 快 和 更 便宜 。 | 

许多 软件 产品 公司 现在 都 在 使 用 开源 方法 来 开发 ， 特 别 是 针对 专业 的 系统 。 他 们 的 业务 
模型 并 不 依赖 于 销售 软件 产品 ， 而 是 提供 对 于 该 产品 的 服务 。 他 们 认为 将 开源 社区 纳入 进来 
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会 使 软件 开发 更 快 同时 更 加 便宜 ， 并 且 将 为 该 软件 创造 一 个 用 户 社区 。 

一 些 公司 认为 采用 开源 方法 会 将 机 密 的 业务 知识 透露 给 他 们 的 竞争 对 手 ， 因 此 不 愿意 采 
用 这 一 开发 模型 。 然 而 ， 如 果 你 在 一 个 小 公司 工作 并 将 自己 的 软件 开源 ， 那 么 你 可 以 请 客户 
放心 ， 因 为 如 果 你 的 公司 歇业 了 ,那么 他 们 可 以 自己 支持 该 软件 。 

发 布 一 个 系统 的 源 代码 并 不 意味 着 来 日 更 大 范围 内 的 社区 的 人 们 将 要 帮助 进行 开发 。 大 多 
数 成 功 的 开源 产品 都 是 平台 产品 而 不 是 应 用 系统 。 可 能 对 专业 的 应 用 系统 感 兴趣 的 开发 者 数量 
很 有 限 。 让 一 个 软件 系统 开源 并 不 能 够 保证 社区 的 参与 度 。S$ourceforge 和 GitHub 上 有 成 千 上 万 
的 开源 项 目 都 只 有 很 少 的 下 载 次 数 。 然 而 ， 如 果 你 的 软件 用 户 对 该 软件 未 来 是 否 可 用 存在 疑虑 ， 
那么 让 软件 开源 就 意味 着 用 户 可 以 获取 自己 的 拷贝 ， 并 且 放 心 他 们 不 会 失去 对 代码 的 访问 权 。 


7.4.1 开源 许可 证 


虽然 开源 软件 开发 的 一 个 基本 原则 是 ， 源 代码 应 当 是 免费 提供 的 ， 但 是 这 并 不 意味 着 
任何 人 都 可 以 随心 所 欲 地 处 置 这 些 代 码 。 从 法 律 意义 上 讲 ， 代 码 的 开发 者 (一 个 公司 或 一 个 
A) 拥有 代码 。 他 们 可 以 通过 在 一 个 开源 软件 许可 证 中 包含 法 律 约束 条 件 来 对 代码 如 何 使 用 
加 以 限制 (St. Laurent 2004 )。 一些 开源 开发 者 认为 如 果 一 个 开源 构件 被 用 于 开发 一 个 新 系 
统 ， 那 么 该 系统 也 应 当 是 开源 的 。 其 他 人 则 愿意 让 别人 在 没有 这 些 限制 的 情况 下 使 用 他 们 的 
代码 。 所 开发 的 系统 可 以 是 私有 的 并 作为 财源 系统 出 售 。 

大 多 数 开源 许可 证 (Chapman 2010 ) 都 是 以 下 3 个 通用 模型 中 某 一 个 的 变 体 ， 

1. 自由 软件 基金 会 (GNU ) 通用 公共 许可 证 (General Public License，GPL )。 这 是 一 个 
所 谓 的 互惠 许可 证 ， 可 以 简单 理解 为 ， 如 果 你 使 用 GPL 许可 证 下 的 开源 软件 ， 那 么 你 必须 
让 你 的 软件 开源 。 

2. 自由 软件 基金 会 (GNU) 宽 通 用 公共 许可 证 (Lesser General Public License，LGPL)。 这 
是 GPL 许可 证 的 一 个 变 体 ， 按 照 该 许可 证 你 可 以 编写 链接 到 开源 代码 的 构件 而 不 用 发 布 这 些 构 
件 的 源 人 代码。 但是， 如 果 你 修改 了 受 许可 证 保护 的 构件 ， 那么 你 必须 将 其 发 布 作为 开源 软件 。 

3. 伯克利 标准 分 发 ( Berkley Standard Distribution，BSD) 许可 证 。 这 是 一 个 单 向 的 许 
可 证 ， 意 味 着 你 没有 责任 重新 发 布 任何 对 于 开源 代码 所 做 出 的 修改 。 你 可 以 在 所 销售 的 私有 
系统 中 包含 这 些 代 码 。 如 果 你 使 用 了 开源 构件 ， 你 必须 承认 这 些 代码 最 初 的 创造 者 。MIT 许 
可 证 是 BSD 许可 证 的 一 个 变 体 ， 条 款 相 似 。 

许可 证 问题 很 重要 ， 因 为 如 果 你 在 一 个 软件 产品 中 使 用 开源 软件 ， 那 么 你 可 能 会 被 强制 
要 求 服从 许可 证 条 款 来 使 你 自己 的 产品 开源 。 如 果 你 试图 销售 自己 的 软件 ， 你 可 能 希望 对 其 
保密 。 这 意味 着 你 可 能 会 布 望 避免 在 开发 中 使 用 GPL 许可 证 的 开源 软件 。 

如 果 你 在 构造 运行 在 开源 平台 上 的 软件 ， 但 是 并 没有 复 用 开源 构件 ， 那 么 许可 证 不 是 个 
问题 。 然 而 ， 如 果 你 将 开源 软件 蔡 入 你 的 软件 中 ， 那 么 你 需要 建立 相应 的 过 程 和 数据 库 来 保 
持 对 已 经 使 用 的 开源 代码 及 其 许可 证 条 件 的 追踪 。Bayersdorfer ( Bayersdorfer 2007 ) 建议 管 
理 使 用 了 开源 代码 的 项 目的 公司 应 当做 到 以 下 几 点 。 

1. 建立 一 个 系统 来 维护 关于 所 下 载 和 使 用 的 开源 构件 的 信息 。 你 必须 针对 每 一 个 构件 保 
存 一 个 在 使 用 构件 时 有 效 的 许可 证 的 副本 。 许 可 证 可 能 会 发 生变 化 ， 因 此 你 要 知道 你 已 经 认 
可 的 那些 许可 证 条 蒜 。 

2. 了解 不 同类 型 的 许可 证 ， 并 理解 一 个 构件 在 使 用 前 是 如 何 确定 许可 证 的 。 你 可 能 会 决 
定 在 某 个 系统 中 使 用 一 个 构件 而 不 在 另 一 个 系统 中 使 用 它 ， 因 为 你 计划 以 不 同 的 方式 使 用 这 
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些 系统 。 

3. 了 解构 件 的 演化 路 径 。 你 需要 知道 一 点 关于 开发 构件 的 开源 项 目的 事情 以 理解 这 些 构 
件 未 来 会 如 何 变 化 。 

4. 进行 关于 开源 软件 的 教育 。 仅 仅 建 立 规程 来 确保 符合 许可 证 条 款 是 不 够 的 ， 还 需要 对 
开发 人 员 进 行 关 于 开源 软件 以 及 开源 许可 证 的 教育 。 

5. 建立 审计 系统 。 处 于 严格 的 交付 期 限 压力 下 的 开发 人 员 可 能 会 试图 违反 许可 证 条 款 。 
如 果 可 能 的 话 ， 应 当 使 用 软件 来 侦 测 违反 许可 证 条 款 的 情况 并 进行 阻止 。 

6. 参与 开源 社区 。 如 果 你 依赖 于 开源 产品 ， 那 么 你 应 当 参 与 相关 的 社区 并 帮助 文 持 他 们 
的 开发 。 

开源 开发 方法 是 几 种 软件 商业 模型 之 一 。 在 这 种 模型 中 ， 公 司 发 布 他 们 软件 的 源 代码 并 
且 提 供 收 费 的 附加 服务 以 及 与 此 相关 的 建议 。 他 们 还 可 以 销售 基于 云 的 软件 服务 ， 对 于 那些 
不 具有 管理 自己 的 开源 系统 以 及 系统 的 专业 版 本 的 用 户 来 说 ， 这 是 一 种 很 有 吸引 力 的 选项 。 
因此 ， 开 源 很 有 希望 在 开发 和 分 发 软件 方面 发 挥 越 来 越 大 的 作用 。 


要 点 


o 软件 设计 和 实现 是 相互 交织 的 活动 。 设 计 中 的 详细 程度 取决 于 所 开发 的 系统 的 类 型 

以 及 所 使 用 的 是 计划 驱动 的 方法 还 是 敏捷 方法 。 

面向 对 象 设计 过 程 所 包括 的 活动 有 设计 系统 体系 结构 、 识 别 系统 中 的 对 象 、 使 用 不 

同 的 对 象 模型 描述 设计 、 对 构件 接口 进行 文档 化 描述 。 

e 在 一 个 面向 对 象 设计 过 程 中 会 产生 一 系列 不 同 的 模型 ， 其 中 包括 静态 模型 (类 模型 、 
泛 化 模型 、 关 联 模型 ) 和 动态 模型 (顺序 模型 、 状 态 机 模型 ) 。 

o 构件 接口 必须 精确 地 进行 定义 ， 以 使 得 其 他 对 象 可 以 使 用 这 些 接口 。UML 接口 的 型 
构 可 以 被 用 来 定义 接口 。 

o 当 开 发 软件 时 ， 应 该 总 是 考虑 复 用 已 有 软件 的 可 能 性 ， 可 以 是 复 用 构件 、 服 务 或 完 

整 的 系统 。 

配置 管理 是 对 一 个 不 断 演化 的 软件 系统 的 修改 过 程 进行 管理 。 当 一 个 团队 中 的 成 员 

相互 协作 开发 软件 时 ， 配 置 管理 是 十 分 重要 的 。 

大 多 数 软件 开发 都 是 宿主 机 - 目标 机 开发 。 在 宿主 机 上 使 用 一 个 IDE 来 开发 软件 ， 

然后 将 软件 转移 到 一 台 目 标 机 上 执行 。 

e 开源 开发 很 重要 的 一 点 是 对 外 公开 源 代码 。 这 意味 着 许多 人 都 可 以 对 软件 的 修改 和 
改进 提出 建议 。 


阅读 推荐 


《 Design Patterns: Elements of Reusable Object-oriented Software 》 是 最 初 的 软件 模式 
手册 ， 其 中 面向 大 范围 的 读者 介绍 了 软件 模式 。(E. Gamma, R. Helm, R. Johnson and J. 
Vlissides, Addison-Wesley, 1995 ) 

《 Applying UML and Patterns: An Introduction to Object-oriented Analysis and Design and 
Iterative Development, 3rd ed 》 这 本 书 中 Larman 清晰 地 介绍 了 面向 对 象 设 计 ， 同 时 也 介绍 
T UML 的 使 用 。 这 本 书 对 在 设计 过 程 中 如 何 使 用 模式 进行 了 很 好 的 介绍 。 昌 然 这 本 书 已 经 
问世 十 多 年 了 ,但 是 在 同类 型 的 书 中 仍然 是 最 好 的 一 本 。(C. Larman, Prentice-Hall, 2004 ) 
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« Producing Open Source Software: How to Run a Successful Free Software Project ) 这 
本 书 对 开源 软件 的 背景 、 许 可 证 问题 、 运 行 一 个 开源 开发 项 目的 可 行 性 进行 了 全 面 的 介绍 ， 
(K. Fogel, O’Reilly Media Inc., 2008 ) 

关于 软件 复 用 的 推荐 阅读 在 第 15 章 中 ， 关 于 配置 管理 的 推荐 阅读 在 第 25 章 中 。 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap7/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/implementation-and-evolution/ 
关于 气象 信息 系统 的 更 多 信息 £ 


http://software-engineering-book.com/case-studies/wilderness-weather-station/ 


练习 


7.1 使 用 图 7-3 中 所 示 的 表格 化 表示 法 对 气象 站 用 况 “ 报 告状 态 和 重 配置 ”进行 描述 。 你 应 
当 对 这 里 所 需要 的 功能 做 出 合理 的 假设 。 
7.2 假设 Mentcare 系统 在 使 用 面 癌 对 象 方法 进行 开发 。 画 一 个 显示 至 少 6 个 该 系统 可 能 的 
用 况 的 用 况 图 。 
7.3 ”使 用 UML 对 于 对 象 类 的 表示 法 设计 下 列 对 象 类 ， 识别 属 性 和 操作 。 根 据 你 自己 的 经 验 
来 决定 与 这 些 对 象 相 关联 的 属性 和 操作 。 
e 一 个 移动 电话 或 者 平板 电脑 上 的 消息 通信 系统 ; 
e 一 个 个 人 计算 机 的 打印 机 ; 
一 个 个 人 音乐 系统 ; 
e 一 个 银行 账户 ; 
一 个 图 书馆 目录 。 
7.4 使 用 图 7-6 中 所 识别 的 气象 站 对 象 作 为 起 点 ， 识 别 该 系统 中 可 能 会 用 到 的 其 他 对 象 
为 你 所 识别 出 的 对 象 设 计 一 个 继承 层次 。 
7.5 开发 一 个 气象 站 的 设计 来 展示 数据 收集 子 系统 和 收集 气象 数据 的 仪器 之 间 的 交互 。 使 
用 顺序 图 来 展示 这 些 交 互 。 
7.6 识别 下 列 系统 中 可 能 的 对 象 并 为 它们 开发 一 个 面向 对 象 的 设计 。 在 考虑 设计 时 ， 你 可 
以 做 出 关于 这 些 系统 的 任何 合理 假设 。 
e 一 个 小 组 日 程 和 时 间 管 理 系 统 ， 希望 能 够 支持 对 一 组 同事 之 间 的 会 议和 预约 进行 时 
间 安 排 。 当 做 出 包含 多 人 的 预约 时 ， 系 统 要 找 出 他 们 的 日 程 中 一 个 共同 的 时 间 段 ， 
并 且 将 预约 安排 到 这 个 时 间 段 上 。 如 果 找 不 到 共同 的 时 间 段 ， 系 统 与 用 户 进 行 交 互 
以 重新 安排 他 的 个 人 日 程 ， 从 而 使 预约 可 以 找到 合适 的 时 间 。 
一 个 完全 目 动 化 运营 的 加 油 站 即将 开业 。 斩 驶 员 通 过 一 个 与 油泵 相连 的 读 卡 器 刷 他 的 
信用 卡 ; 所 刷 的 卡通 过 与 一 个 信用 卡 公司 的 计算 机 通信 进行 验证 ， 并 建立 一 个 燃料 限 
量 。 接 着 驾驶 员 就 可 以 获得 所 需要 的 燃料 了 。 当 燃料 供应 完成 后 ， 油 录 软 管 回归 皮 
套 。 信 用 卡 在 扣 费 后 返回 卡 。 如 果 信 用 卡 不 合法 ， 那么 油泵 在 加 油 之 前 就 会 返回 卡 。 
7.7” 画 一 个 顺序 图 展示 小 组 日 程 系 统 在 一 组 人 正在 安排 一 个 会 议 时 对 象 间 的 交互 。 
7.8 画 一 个 UML 状态 图 来 展示 小 组 日 程 系统 或 者 加 油 系统 可 能 的 状态 变化 。 
7.9 举例 解释 为 什么 一 组 大 在 开发 一 个 软件 产品 时 配置 管理 系统 很 重要 。 


7.10 
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一 个 小 公司 开发 了 一 个 可 以 专门 为 每 个 客户 专门 配置 的 专业 软件 产品 。 新 客户 通常 都 
有 一 些 特定 的 需求 要 加 入 到 系统 中 ， 他 们 会 为 这 些 需 求 的 开发 和 集成 支付 费用 。 该 软 
件 公司 有 一 个 机 会 去 投标 一 个 新 项 目 ， 这 将 会 使 客户 基数 翻 倍 。 新 客户 希望 参与 一 些 
系统 的 配置 。 解 释 为 什么 在 这 种 情况 下 让 这 个 软件 产品 开源 对 于 拥有 该 软件 的 公司 而 
诗 可 能 是 个 好 主意。 
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软件 测试 


目标 

本 章 的 目标 是 介绍 软件 测试 和 软件 测试 过 程 。 阅 读 完 本 章 后 ， 你 将 : 

o 理解 测试 的 各 个 阶段 ， 从 开发 过 程 中 的 测试 到 系统 客户 所 做 的 验收 测试 ; 

se。 了解 可 以 帮助 你 选择 有 利于 发 现 程序 缺陷 的 测试 用 例 的 技术 ; 

。 理解 测试 先行 的 开发 ， 其 中 会 在 编写 代码 前 设计 测试 并 且 自 动 运行 这 些 测试 ; 

© 了解 3 种 截然 不 同 的 测试 ， 即 构件 测试 、 系 统 测 试 、 发 布 测试 ; 

。 理解 开发 测试 和 用 户 测试 的 区 别 。 

测试 的 目的 是 显示 一 个 程序 做 了 希望 做 的 事情 以 及 在 程序 投入 使 用 之 前 发 现 其 中 的 缺 
陷 。 当 测试 软件 时 ， 会 使 用 人 造 的 数据 执行 程序 。 要 对 测试 运行 的 结果 进行 检查 以 发 现 错 
误 、 异 常 现象 ， 或 者 关于 程序 的 非 功能 性 属性 的 信息 。 

测试 软件 时 ， 你 在 试图 做 以 下 两 件 事 情 。 

1. 向 开发 人 员 和 客户 展示 软件 满足 其 需求 。 对 于 定制 化 软件 ， 这 意味 着 针对 需求 文档 中 
的 每 一 个 需求 都 应 该 有 至 少 一 个 测试 。 对 于 通用 的 软件 产品 ， 这 意味 着 所 有 将 被 包含 在 产品 
发 布 中 的 系统 特征 都 要 有 测试 。 你 还 可 以 测试 特征 的 组 合 以 检查 是 否 存在 不 希望 出 现 的 特征 
交互 。 

2. 找 出 可 能 导致 软件 行为 不 正确 、 出 现 不 希望 的 行为 ， 或 行为 不 符合 规格 说 明 的 输入 或 
输入 序列 。 这 些 是 由 于 软件 中 的 缺陷 (bug) 导致 的 。 当 你 测试 软件 以 发 现 缺陷 时 ， 你 将 试 
图 根除 不 希望 看 到 的 系统 行为 ， 例 如 系统 崩溃 、 不 希望 看 到 的 与 其 他 系统 的 交互 、 不 正确 的 
计算 ， 以 及 数据 损坏 等 。 

上 面 的 第 一 点 是 确认 测试 ， 你 会 使 用 一 组 反映 系统 的 期 望 使 用 方式 的 测试 用 例 来 测试 系 
统 是 否 正确 运行 。 第 二 点 是 缺陷 测试 ， 设 计 测 试用 例 来 暴露 缺陷 。 缺 陷 测试 中 的 测试 用 例 可 
以 故意 有 一 些 不 清楚 的 地 方 ， 并 且 不 需 
要 反映 软件 在 正常 情况 下 是 如 何 使 用 的 。 
当然 ， 这 两 种 测试 方法 并 没有 明确 的 边 
界 。 在 确认 测试 过 程 中 ， 会 发 现 系统 中 
的 缺陷 ; 在 缺陷 测试 过 程 中 ， 一 些 测试 
会 显示 程序 满足 其 需求 。 

图 8-1 显示 了 确认 测试 和 缺陷 测试 之 
间 的 区 别 。 将 被 测试 的 系统 想象 成 一 个 
黑 盒 。 系 统 从 输入 集合 1 那里 接收 输入 ， 
生成 一 个 输出 集合 O 中 的 输出 。 输 出 中 
有 一 些 会 是 错误 的 。 这 些 错 误 的 输出 集 揭示 缺陷 
合 0。 是 系统 对 输入 集合 工 中 的 输入 的 响 dae 
应 而 生成 的 。 缺 陷 测 试 中 优先 考虑 的 是 图 8-1 程序 测试 的 一 个 输入 — 输出 模型 








天 测试 
输入 测试 数据 。 了 导致 异 党 
行为 的 输入 


输出 测试 结果 
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EFI. 中 的 输入 ， 因 为 这 些 输入 揭示 了 系统 中 的 问题 。 确 认 测 试 包含 使 用 工 之 外 的 正确 输 
入 的 测试 。 这 些 输入 激励 系统 生成 所 期 望 的 正确 输出 。 

测试 无 法 显示 软件 没有 缺陷 或 者 软件 在 每 种 情形 下 的 行为 都 与 规格 说 明 一 致 。 你 所 忽 
视 的 菏 一 个 测试 总 是 有 可 能 进一步 发 现 系统 中 新 的 问题 ;就 如 软件 工程 发 展 的 早期 贡献 者 
Edsger Dijkstra 所 说 (Dijkstra 1972 ): 

“测试 只 能 显示 错误 的 存在 ， 而 不 是 显示 没有 错误 存在 8" 

测试 是 更 广阔 的 软件 验证 和 确认 ( Verification and Validation, V & V) 过 程 的 一 部 分 。 
验证 和 确认 并 不 相同 ， 虽 然 它 们 经 党 被 混 消 。 软 件 工程 先驱 之 一 Barry Boehm 简洁 地 将 二 者 
之 间 的 区 别 表达 为 (Boehm 1979 ): 

e 确认 (validation): 我 们 在 构造 正确 的 产品 吗 ? 

e 验证 (verification): 我 们 在 以 正确 的 方式 构造 产品 吗 ? 

验证 和 确认 过 程 关 注 检 查 所 开发 的 软件 是 否 满足 其 规格 说 明 ， 并且 是 否 提 供 了 为 软件 开 
发 付费 的 人 所 期 望 的 功能 。 这 些 检查 过 程 在 有 了 需求 之 后 马上 就 开始 了 了， 并 旦 一直 持续 并 贯 
穿 整 个 软件 开发 过 程 的 所 有 阶段 。 

软件 验证 是 检查 软件 是 否 满足 其 所 声明 的 功能 性 和 非 功能 性 需求 的 过 程 。 软 件 确认 是 一 
个 更 加 泛 化 的 过 程 。 确 认 的 目的 是 确保 软件 满足 客户 的 期 望 。 确 认 的 含义 不 仅仅 是 检查 与 规 
格 说 明 的 符合 性 以 展示 软件 做 了 客户 期 望 它 做 的 事情 。 确 认 十 分 重要 ， 因 为 如 本 书 第 4 章 中 
所 述 ， 需 求 陈 述 并 不 总 是 反映 系统 客户 和 用 户 的 真实 愿望 或 需要 。 

验证 和 确认 过 程 的 目的 是 建立 软件 系统 “符合 目的 ”的 信心 。 这 意味 着 系统 必须 能 够 足 
够 好 地 满足 所 期 望 的 使 用 方式 。 所 需要 的 信心 水 平 取 决 于 系统 的 目的 、 系 统 用 户 的 期 望 ， 以 
及 针对 该 系统 的 当前 市 场 环境 。 

1. 软 件 目的 。 软 件 越 关键 ， 它 的 可 靠 性 越 重要 。 例 如 ， 相 比 一 个 用 于 原型 化 新 的 产品 
设想 的 演示 系统 所 需 的 信息 水 平 ， 用 于 控制 一 个 安全 关键 性 系统 的 软件 所 需 的 信心 水 平 要 高 
得 多 。 

2. 用 户 期 望 。 由 于 此 前 对 于 问题 频 现 、 不 可 靠 的 软件 的 经 历 ， 用 户 有 时 对 软件 质量 的 期 
望 并 不 高 。 当 他 们 的 软件 失效 时 ， 他 们 并 不 会 奇怪 。 当 一 个 新 系统 安装 后 ， 用 户 可 能 会 容忍 
一 些 失 效 ， 因 为 使 用 系统 的 收益 大 于 失效 恢复 的 开销 。 然 而 ， 随 着 一 个 软件 产品 的 位 置 逐 渐 
巩固 ， 用 户 会 期 望 它 变 得 越 来 越 可 徘 。 因 此 ， 可 能 会 需要 对 系统 此 后 的 版 本 进行 更 加 彻底 的 
测试 。 

3. 市 场 环境 。 一 个 软件 公司 在 将 一 个 系统 推 向 市 场 时 必须 考虑 竞争 产品 、 客 户 愿意 为 系 
统 支 付 的 价格 ， 以 及 系统 交付 所 需要 的 日 程 。 在 一 个 竞争 性 的 环境 中 ， 公 司 可 能 会 决定 在 充 
分 测试 和 调试 之 前 发 布 一 个 程序 ， 因 为 这 样 可 以 最 先进 和 市场。 如果 一 个 软件 产品 或 应 用 非 
并 便宜 ， 用 户 可 能 会 愿意 容忍 较 低 的 可 靠 性 水 平 。 

除了 软件 测试 ， 验 证 和 确认 过 程 还 可 以 包括 软件 审查 (inspection) 和 评审 ( review). 
审查 和 评审 分 析 并 检查 系统 需求 、 设 计 模 型 、 程 序 源 代码 ， 甚 至 所 建议 的 系统 测试 。 这 些 都 
属于 “静态 的 ”验证 和 确认 技术 ， 其 中 不 需要 执行 软件 来 进行 验证 。 图 8-2 显示 了 软件 审查 
和 测试 在 软件 过 程 的 不 同 阶段 支持 验证 和 确认 。 其 中 的 箭头 表示 这 些 技术 可 以 使 用 的 过 程 
阶段 。 
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图 8-2 审查 和 测试 


审查 主要 关注 系统 的 源 代码 ， 但 其 他 任何 可 读 的 软件 表示 (例如 ; 需求 或 设计 模型 ) 

可 以 进行 审查 。 当 你 审查 一 个 系统 时 ， 你 要 利用 关于 系统 、 其 应 用 领域 、 pram 
知识 来 发 现 错误 。 

与 测试 相 比 软件 审查 有 如 下 3 个 优势 。 

1. 在 测试 过 程 中 ， 一 个 错误 可 能 会 掩盖 (隐藏 ) 其 他 错误 。 当 一 个 错误 导致 非 预 期 的 输 
出 时 ， 你 永远 无 法 确定 此 后 的 输出 异常 是 由 于 新 的 错误 导致 的 ， 还 是 原来 那个 错误 的 副作用 
导致 的 。 由 于 审查 并 不 会 运行 系统 ， 你 并 不 需要 担心 错误 之 间 的 相互 影响 。 因 此 ， 一 次 审查 
会 议 可 能 会 发 现 一 个 系统 中 的 很 多 错误 。 

2. 一 个 系统 的 不 完整 版 本 可 以 在 不 需要 额外 成 本 的 情况 下 进行 审查 。 如 果 一 个 程序 是 
不 完整 的 ， 那么 需要 开发 特殊 的 测试 装置 来 测试 已 有 的 部 分 。 显 然 ， 这 将 增加 系统 的 开发 
成 本 。 

3. 除了 查找 程序 中 的 缺陷 之 外 ， 审 查 还 可 以 考虑 范围 更 广阔 的 程序 质量 属性 ， 例 如 ， 与 
标准 的 符合 性 、 可 移植 性 、 可 维护 性 等 。 通 过 审查 可 以 寻找 效率 不 高 、 不 合适 的 算法 ， 以 及 
可 能 导致 系统 难以 维护 和 更 新 的 不 好 的 编程 风格 。 

程序 审查 是 一 个 比较 老 的 思想 ， 一 些 研 究 和 实验 已 经 表明 审查 在 缺陷 发 现 方 面 比 程序 测 
试 更 有 效 。Fagan (Fagan 1976) 在 报告 中 提 到 ， 程 序 中 超过 60% 的 错误 可 以 使 用 非 正式 的 
程序 审查 来 发 现 。 据 称 在 净 室 过 程 (Prowell et al. 1999) 中 ， 程 序 审查 可 以 发 现 超过 90% 的 
缺陷 。 

然而 ， 审 查 无 法 取代 软件 测试 。 审 查 不 善于 发 现 由 于 程序 的 不 同 部 分 之 间 的 非 预期 
交互 、 时 间 性 问题 或 者 系统 性 能 上 的 问题 而 导致 的 缺陷 。 在 小 的 公司 或 开发 小 组 中 ， 设 立 
一 个 独立 的 审查 团队 可 能 很 困难 并 且 很 昂贵 ， 因 为 所 有 潜在 的 团队 成 员 可 能 都 是 软件 的 开 
发 者 。 

第 24 章 (质量 管理 ) 中 将 更 详细 地 介绍 评审 和 审查 。 第 12 章 将 介绍 静态 分 析 ， 对 一 个 
程序 的 源 代码 进行 自动 分 析 以 发 现 异常 。 在 本 章 中 ,将 关注 测试 和 测试 过 程 。 

图 8-3 是 一 个 计划 驱动 的 开发 所 使 用 的 关于 传统 测试 过 程 的 抽象 模型 。 测 试用 例 是 关于 
测试 的 输入 以 及 期 望 的 系统 输出 (测试 结果 ) 的 规格 说 明 ， 加 上 一 个 关于 所 测试 的 是 什么 的 
陈述 。 测 试 数据 是 已 经 设想 好 的 用 于 测试 一 个 系统 的 输入 。 测 试 数据 有 时 可 以 自动 生成 ， 但 
是 测试 用 例 的 自动 生成 是 不 可 能 的 。 理 解 假设 让 系统 做 什么 的 人 必须 参与 定义 所 期 望 的 测试 
结果 。 然 而， 测试 执行 可 以 被 自动 化 。 测 试 结果 可 以 自动 与 期 望 的 结果 进行 比较 ， 因 此 不 需 
要 人 来 寻找 测试 运行 中 的 错误 和 异常 。 
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图 8-3 ”软件 测试 过 程 模型 
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设计 测试 用 例 》 准备 测试 数据 


通 第 ,一 个 商业 化 软件 系统 必须 经 历 以 下 3 个 测试 阶段 。 

1. 开发 测试 ， 系 统 在 开发 过 程 中 进行 测试 以 发 现 bug 和 缺陷 。 系 统 设计 者 和 程序 员 一 般 
邦 会 参与 这 个 测试 过 程 。 

2. 发 布 测试 ,一 个 独立 的 测试 团队 在 系统 发 布 给 用 户 之 前 测试 系统 的 完整 版 本 。 发 布 测 
试 的 目的 是 检查 系统 是 否 满足 系统 利益 相关 者 的 需求 。 

3. 用 户 测试 ,一 个 系统 的 用 户 或 浴 在 的 用 户 在 他 们 目 己 的 环境 中 测试 系统 。 对 于 软件 产 

，“ 用户” 可 以 是 一 个 决定 软件 是 否 可 以 推 癌 市 场 、 发 布 和 销售 的 内 部 市 场 组 。 验 收 测试 
是 ~ 种 用 户 测试 ， oh Wm 
或 者 系统 是 否 需要 进一步 的 开发 。 







测试 计划 
测试 计划 关注 测试 过 程 中 所 有 活动 的 进度 和 资源 安排 。 其 中 包括 定义 测试 过 程 ， 考 
虑 可 用 的 人 和 时 间 。 通 常 都 会 创建 一 个 测试 计划 ， 其 中 定义 了 测试 什么 、 所 预测 的 测试 进 
度 、 测 试 将 如 何 记 录 等 。 对 于 关键 性 系统 ， 测 试 计划 还 可 以 包括 要 在 软件 上 运行 的 测试 的 
详细 信息 。 








http://software-engineering-book.com/web/test-planning/ 


在 实践 中 ,测试 过 程 通常 会 混合 手工 测试 和 日 动 化 测试 。 在 手工 测试 中 ,测试 人 员 使 用 
一 些 测 试 数据 运行 程序 ， 并 将 运行 结果 与 他 们 的 期 望 相 比 较 ， 然 后 记录 所 发 现 的 不 符 之 处 并 
报告 给 程序 开发 者 。 在 自动 化 测试 中 ， 测 试 被 编码 在 程序 中 ， 在 所 开发 的 系统 每 次 测试 时 运 
行 这 些 测试 程序 。 这 种 方式 比 手工 测试 要 快 ， 特 别 是 当 测 试 中 包括 回归 测试 (重新 运行 前 面 
的 测试 以 确定 对 程序 的 修改 没有 引入 新 的 bug) 时 。 | 

不 芋 的 是 ,测试 永远 无 法 做 到 完全 目 动 化 ， 因 为 目 动 化 测试 只 能 确定 一 个 程序 做 了 人 们 
认为 它 应 该 做 的 事情 。 在 实践 中 不 可 能 使 用 日 动 化 测试 来 测试 系统 看 起 来 的 样子 (例如 一 个 
图 形 用 户 界面 )， 或 者 测试 一 个 程序 意料 之 外 的 副作用 。 


8.1 开发 测试 

开发 测试 包括 由 开发 系统 的 团队 所 执行 的 所 有 测试 活动 。 软 件 的 测试 者 通常 是 开发 该 软 
件 的 程序 员 。 一 些 开发 过 程 使 用 程序 员 / 测试 人 员 对 (Cusamano and Selby 1998 )， 其 中 每 个 
程序 员 都 有 一 个 相关 联 的 测试 人 员 来 开发 测试 并 协助 进行 测试 过 程 。 对 于 关键 性 系统 可 能 要 
使 用 一 个 更 加 正式 的 过 程 ， 其 开发 团队 中 有 独立 的 测试 小 组 ,该 小 组 负责 开发 测试 并 维护 详 
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细 的 测试 结 朱 记录 。 

开发 测试 包括 如 下 3 个 阶段 。 

1. 单元 测试 ， 对 各 个 程序 单元 或 对 象 类 进行 测试 。 单 元 测试 应 当 关 注 测试 对 象 或 方法 的 功能 ， 

2. 构件 测试 ， 对 多 个 不 同 的 单元 进行 集成 以 创建 一 个 复合 构件 。 构 件 测试 应 当 关 注 测 试 
提供 对 构件 功能 的 访问 的 构件 接口 。 

3. 系统 测试 ， 对 一 个 系统 中 的 一 些 或 全 部 构件 进行 集成 并 将 系统 作为 一 个 整体 进行 测 
试 。 系 统 测试 应 当 关 注 测试 构件 交互 。 

开发 测试 主要 是 一 个 缺陷 测试 过 程 ， 其 中 测试 的 目的 是 发 现 软件 中 的 bug。 因 此 ， 开 发 
测试 通 第 和 调试 (在 代码 中 定位 问题 并 修改 程序 以 修复 问题 的 过 程 ) 交织 在 一 起 。 


Ou: 
调试 是 修复 测试 所 发 现 的 错误 和 问题 的 过 程 。 基 于 来 自 程 序 测试 的 信息 ， 调 试 人 员 
使 用 他 们 的 编程 语言 知识 以 及 测试 的 期 望 输出 来 定位 并 修复 程序 错误 。 当 你 在 调试 一 个 程 
序 时 ， 你 通常 会 使 用 交互 式 的 工具 来 提供 关于 程序 运行 的 额外 信息 。 
http://software-engineering-book.com/web/debugging/ 





8.1.1 单元 测试 


单元 测试 是 测试 程序 构件 (例如 ， 方 法 或 对 象 类 ) 的 过 程 。 各 个 函数 或 方法 是 构件 的 最 
简单 的 形式 。 测 试 应 当 用 不 同 的 输入 参数 来 调用 这 些 程序 。 可 以 使 用 8.1.2 节 中 所 介绍 的 测 
试用 例 设计 方法 来 设计 函数 或 方法 测试 。 

在 测试 对 象 类 时 ， 应 当 设 计 测 试 来 实现 对 该 对 象 所 有 特征 的 覆盖 。 这 意味 着 应 当 测 试 与 
该 对 象 相关 的 所 有 操作 ， 设 置 并 且 检 查 与 该 对 象 相关 的 所 有 属性 的 值 ， 并 且 将 该 对 象 置 于 所 
有 可 能 的 状态 之 中 。 这 意味 着 应 当 模 拟 导 致 状态 变更 的 所 有 事件 。 

例如 ， 考 虑 第 7 章 中 所 介绍 的 例子 中 的 气象 站 对 象 。 该 对 象 的 属性 和 操作 如 图 8-4 所 
示 。 这 个 对 象 只 有 一 个 属性 ， 即 它 的 标识 符 。 这 个 属性 是 一 个 常量 ， 在 气象 站 安装 时 进行 设 
置 。 因 此 ， 只 需要 一 个 测试 来 检查 该 属性 是 否 进行 了 适当 的 设置 。 要 为 与 该 对 象 相关 联 的 所 
有 方法 (例如 reportWeather 和 reportStatus) 定义 测试 用 例 。 理 想 情 况 下 ， 应 当 独 立 测 试 各 
个 方法 ,但 是 在 有 些 情 况 下 也 有 必要 对 方法 序列 进行 测试 。 例 如 ， 为 了 测试 关闭 气象 站 仪器 
的 方法 (shutdown )， 你 需要 先 执行 restart 方法 。 

泛 化 或 继承 使 得 对 象 类 的 测试 更 加 复杂 。 无 法 简单 地 在 定义 一 WeatherStation 
个 操作 的 类 中 对 其 进行 测试 ， 然 后 假设 这 个 方法 可 以 在 继承 该 操作 | identifier 
的 所 有 子 类 中 都 能 按照 预期 进行 工作 。 被 继承 的 操作 可 能 会 对 于 其 a, 

他 操作 和 属性 做 出 一 些 假 设 。 这 些 假设 在 一 些 继承 该 操作 的 子 类 中 powerSave (instruments) 
可 能 并 不 成 立 。 因 此 ， 必 须 在 使 用 所 继承 的 操作 的 每 一 个 地 方 对 其 。 | eo mo) 
进 行 测 试 。 restart ( instruments) 

为 了 测试 气象 站 的 状态 ， 可 以 使 用 一 个 如 第 了 7 章 中 所 介绍 的 状 Eo smm) 

态 模型 ( 见 图 7-8 )。 使 用 这 种 模型 ， 可 以 识别 必须 测试 的 状态 转换 “图 8-4 气象 站 对 象 接口 
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序列 并 定义 驱使 这 些 状态 转换 的 事件 序列 。 从 原则 上 讲 ， 应 当 测 试 每 种 可 能 的 状态 转换 序 
列 ， 里 然 在 实践 中 这 可 能 会 过 于 昂 吴 。 气 象 站 系统 中 应 当 测 试 的 状态 序列 的 一 些 例子 如 下 : 

Shutdown 一 Running — Shutdown 

Configuring 一 Running 一 Testing > Transmitting — Running 

Running —> Collecting — Running Summarizing — Transmitting — Running 

只 要 有 可 能 都 应 当 尽 量 自动 化 单元 测试 。 在 自动 化 单元 测试 中 ， 可 以 使 用 一 个 测试 自动 
化 框架 ,例如 JUnit ( Tahchiev et al. 2010 ) 来 编写 并 运行 程序 测试 。 单 元 测试 框架 提供 了 可 
以 扩展 用 来 创建 特定 测试 用 例 的 通用 测试 类 。 它 们 可 以 运行 你 所 实现 的 所 有 测试 ， 并 且 报 告 
测试 是 否 成 功 (经常 通过 一 些 图 形 化 用 户 界 面 )。 整 个 测试 套件 经 党 可 以 在 几 秒 钟 内 运行 完 ， 
因此 有 可 能 在 你 每 次 修改 程序 时 都 执行 所 有 测试 。 

一 个 目 动 化 测试 包括 以 下 3 个 部 分 。 

1. 一 个 设置 部 分 ， 其 中 会 按照 当前 测试 用 例 ( 即 输入 和 期 望 输出 ) 对 系统 进行 初始 化 。 

2. 一 个 调用 部 分 ， 其 中 会 调用 要 进行 测试 的 对 象 或 方法 。 

3. 一 个 断言 部 分 ， 其 中 会 将 调用 的 结果 与 所 期 望 的 结果 进行 比较 。 如 果断 言 结果 是 真 ， 
那么 测试 是 成 功 的 ; 否则 测试 失败 。 

有 时 候 ， 测 试 的 对 象 会 依赖 其 他 还 没有 实现 的 对 象 ， 或 者 依赖 会 导致 测试 过 程 很 慢 的 对 
象 。 例 如 ， 如 果 一 个 对 象 调用 一 个 数据 库 ， 那 么 就 需要 在 使 用 数据 库 之 前 进行 一 个 很 慢 的 设 
置 过 程 。 在 这 种 情况 下 ， 你 可 能 会 决定 使 用 Mock 对 象 。 

Mock 对 象 与 所 模拟 的 外 部 对 象 具 有 同样 的 接口 。 例 如 ， 一 个 模拟 数据 库 的 Mock 对 象 
可 能 只 有 一 些 组 织 为 数组 的 数据 项 。 访 问 这 些 Mock 对 象 很 快 ， 不 存在 调用 数据 库 和 访问 磁 
盘 带 来 的 额外 开销 。 与 之 相似 ，Mock 对 象 可 以 被 用 于 模拟 异常 操作 或 稀有 事件 。 例 如 ， 如 
宋 系统 要 在 一 天 之 中 的 一 些 特定 时 间 上 采取 动作 ,那么 Mock 对 象 可 以 简单 地 返回 那些 时 
间 ， 而 不 用 管 实际 的 时 钟 时 间 。 


8.1.2 选择 单元 测试 用 例 


测试 很 昂贵 并 且 很 耗 时 间 ， 因 此 选择 有 效 的 单元 测试 用 例 是 很 重要 的 。 这 里 的 “有 效 ” 
意味 着 两 件 事情 。 

1. 测试 用 例 应 当 显 示 出 ， 当 按照 期 望 的 方式 使 用 时 正在 测试 的 构件 做 了 期 望 它 做 的 
事情 ; 

2. 如 果 构 件 中 存在 缺陷 ,那么 测试 用 例 可 以 揭示 这 些 缺 陷 。 

因此 , 应当 设 计 两 类 测试 用 例 。 第 一 类 测试 用 例 应 该 反映 程序 的 正常 运行 ， 并 且 显 示 出 
构件 可 以 工作 。 例 如 ， 如 果 你 在 测试 一 个 创建 并 初始 化 一 条 新 的 病人 记录 的 构件 ， 那 么 你 的 
测试 用 例 应 当 显示 出 所 添加 的 记录 在 数据 库 中 存在 ， 并 且 它 的 字段 已 经 按照 所 指定 的 值 进行 
了 设置 。 另 一 类 测试 用 例 应 当 基 于 常见 的 问题 通常 会 在 哪里 出 现 的 测试 经 验 。 这 些 测 试用 例 
应 当 使 用 异常 的 输入 来 确定 这 些 输入 得 到 了 适当 的 处 理 ， 并 且 不 会 使 构件 崩溃 。 

以 下 是 两 种 可 以 帮助 你 选择 测试 用 例 的 策略 。 

1. 划分 测试 ， 识 别 出 各 个 具有 共同 特性 并 且 应 当 以 同样 的 方式 处 理 的 输入 分 组 。 你 应 当 
从 这 些 分 组 中 的 每 一 个 中 都 选择 测试 用 例 。 

2. 基于 指南 的 测试 ， 使 用 测试 指南 来 选择 测试 用 例 。 这 些 指南 反映 了 程序 员 在 开发 构件 
时 经 常会 犯 的 各 种 错误 的 经 验 。 
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一 个 程序 的 输入 数据 和 输出 结果 可 以 看 作 是 具有 共同 特性 的 集合 成 员 。 这 些 集合 的 例子 
包括 整数 、 负 数 、 沫 单 选择 。 程 序 通常 对 一 个 集合 中 的 所 有 成 员 都 表现 出 近似 的 行为 。 也 就 
是 说 ， 如 果 你 测试 一 个 进行 计算 的 程序 并 且 需 要 两 个 正 数 ， 那 么 你 会 期 望 程序 对 于 所 有 的 正 
数 都 表现 出 相同 的 行为 。 

由 于 这 种 等 价 行为 ， 这 些 类 有 时 候 被 称 为 “等 价 划 分 ”(equivalence partition) 或 “等 价 
ia,” (Bezier 1990 )。 一 种 系统 性 的 测试 用 例 设计 方法 就 是 建立 在 面向 一 个 系统 或 构件 识别 所 
有 输入 和 输出 划分 的 基础 上 。 测 试用 例 设计 就 可 以 从 这 些 划分 中 选取 输入 或 输出 。 划 分 测试 
既 可 以 用 于 为 系统 设计 试 测 用 例 ， 又 可 以 用 于 为 构件 设计 测试 用 例 。 

在 图 8-5 中 ， 左 侧 的 大 阴影 椭圆 表示 所 测试 的 程序 所 有 可 能 的 输入 集合 。 较 小 的 不 带 阴 
影 的 椭圆 表 示 等 价 划分 。 一 个 被 测 程序 应 当 以 同样 的 方式 对 一 个 输入 等 价 划分 中 的 所 有 成 员 
进行 处 理 。 

输出 等 价 划分 是 其 中 所 有 输出 划分 都 有 一 些 共 性 的 成 分 。 有 时 候 输 入 和 输出 等 价 划 
分 之 间 存 在 一 对 一 上 映射。 然而 并 不 总 是 如 此 ， 有 时 候 可 能 需要 单独 定义 输入 等 价 划分 ， 其 
中 输入 唯一 的 共性 特征 是 它们 所 产生 的 输出 在 同一 个 输出 划分 之 中 。 图 8-5 中 左边 椭圆 中 
的 阴影 区 域 表示 非 法 输入 。 右 边 椭 圆 中 的 阴影 区 域 表 示 可 能 发 生 的 异常 ， 即 对 非法 输入 的 
啊 应 。 

一 旦 已 经 识别 出 了 一 组 划分 ， 就 可 以 从 每 一 个 划分 中 选择 测试 用 例 。 一 个 关于 测试 用 例 
选取 的 有 效 经 验 法 则 是 ,选取 划分 边 输入 等 价 划分 
界 上 的 测试 用 例 ， 青 加 上 靠近 划分 中 
点 的 测试 用 例 。 其 原因 是 设计 者 和 程 
序 员 在 开发 一 个 系统 时 倾向 于 考虑 典 
型 的 输入 值 。 这 些 值 可 以 通过 选取 划 
分 的 中 点 来 进行 测试 。 边 界 值 经 常 是 
非典 型 的 (例如 ， 针 对 输入 值 0 的 行 
为 可 能 与 其 他 非 负 数字 的 行为 不 一 
样 ， 因 此 有 时 候 会 被 开发 大 员 忽 视 。 
程序 失效 经 常会 在 处 理 这 些 非典 型 值 E 
时 发 生 。 可 能 的 输入 正确 的 输出 可 能 的 输出 


输出 划分 








可 以 通过 使 用 程序 规格 说 明 或 图 8-5 等 价 划分 
用 户 文档 ， 并 且 根 据 预 测 哪 种 类 型 


的 输入 值 最 有 可 能 发 现 错误 的 经 验 
来 识别 划分 。 例 如 ， 假 设 有 一 个 程 
序 规 格 说 明明 确 程 序 接受 4 一 10 
个 大 于 10000 的 五 位 整数 作为 输 
入。 根据 这 些 信 息 可 以 识别 输入 划 
分 以 及 可 能 的 测试 输入 值 ， 如 图 8-6 
所 示 。 

当 使 用 一 个 系统 的 规格 说 明 来 | 小 flooo | ”10000~99999 | 大 Jo9999 | 
识别 等 价 划 分 时 ， 可 以 称 为 “ 黑 盒 ”输入 值 一 | — 
测试 ” 。 你 不 需要 了 解 任 何 关 于 系 图 8-6 等 价 划 分 
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统 如 何 工作 的 知识 。 有 时 候 需 要 通过 “ 白 盒 测试 ”来 对 黑 盒 测试 进行 补充 。 白 盒 测 试 中 
a esc 0a et 

>. 那么 可 以 利用 这 一 知识 来 识别 “异常 划分 ”， 即 应 当 采 用 同样 的 异常 处 理 的 那些 取 值 
om. 












CS ie mist 


路 径 测试 是 一 种 测试 策略 ， 其 目的 是 运行 贯穿 一 个 构件 或 程序 的 每 一 个 独立 的 执行 
路 径 。 如 果 每 一 个 独立 路 径 都 被 执行 ， 那 么 构件 中 所 有 的 语句 一 定 都 被 执行 了 至 少 一 次 。 
ee Nee AOS 在 一 个 面向 对 象 开 发 过 程 中 ， 路 径 测 
试 可 以 用 来 测试 与 对 象 相关 的 方法 。 
http://software-engineering-book.com/web/path-testing/ 


等 价 划分 是 一 种 有 效 的 测试 方法 ， 因 为 它 有 助 于 说 明 程 序 员 在 处 理 划分 边缘 上 的 输入 时 
经 常 犯 的 错误 。 也 可 以 使 用 测试 指南 来 帮助 选择 测试 用 例 。 指 南 封装 了 关于 何 种 类 型 的 测试 
用 例 能 够 有 效 发 现 错误 的 知识 。 例 如 ， 当 你 在 测试 带 有 序列 、 数 组 或 列表 的 程序 时 ， 可 以 帮 
助 发 现 缺 陷 的 指南 通常 包括 以 下 这 几 项 。 

1. 使 用 只 有 单个 值 的 序列 来 测试 软件 。 程 序 员 经 常 很 自然 地 认为 序列 由 多 个 值 组 成 ， 并 
上 且 有 时 会 在 他 们 的 程序 中 体现 这 一 假设 。 因 此 ， 如 果 碰 到 只 有 单个 值 的 序列 ， 那 么 程序 可 能 
会 出 错 。 

2. 在 不 同 的 测试 中 使 用 多 个 大 小 不 同 的 序列 。 这 降低 了 具有 人 缺陷 的 程序 由 于 输入 的 一 些 
偶然 特性 而 碰巧 产生 正确 输出 的 可 能 性 。 

3. 考虑 让 测试 访问 到 序列 中 最 前 面 、 中 间 、 最 后 面 的 元 素 。 这 种 方法 可 以 揭示 划分 边界 
上 的 问题 。 

Whittaker 的 书 ( Whittaker 2009 ) 中 包括 了 很 多 可 以 用 于 测试 用 例 设计 的 指南 的 例子 。 
其 中 所 建议 的 一 些 最 通用 的 指南 包括 : 

e 选择 迫使 系统 生成 所 有 错误 消息 的 输入 ; 

e 设计 导致 输入 缓冲 洲 出 的 输入 ; 

e 多 次 重复 同样 的 输入 或 输入 序列 ; 

o 驱使 生成 非法 的 输出 ; 

e 驱使 计算 结果 太 大 或 太 小 。 

随 着 你 不 断 获 得 测试 经 验 ， 你 可 以 开发 你 自己 的 选择 有 效 测 试用 例 的 指南 。 下 一 节 中 将 
给 出 更 多 的 测试 指南 的 例子 。 


8.1.3 构件 测试 


软件 构件 经 常 由 多 个 相互 交互 的 对 象 组 成 。 例 如 ， 在 气象 站 系统 中 ， 重 配置 构件 包括 处 
理 重 配置 的 各 个 方面 的 对 象 ， 可 以 通过 构件 接口 ( 见 第 7 章 ) 访问 这 些 对 象 的 功能 。 因 此 ， 
测试 复合 构件 应 当 关注 显示 构件 接口 的 行为 与 其 规格 说 明 相 一 致 。 可 以 假设 针对 构件 中 的 各 
个 对 象 的 单元 测试 都 已 经 完成 了 。 
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图 8-7 描述 了 构件 接口 测试 的 想法 。 假 设 构件 A、B 和 C 已 经 被 集成 到 一 起 以 创建 一 个 
更 大 的 构件 或 子 系统 。 测 试用 例 并 不 是 应 用 于 单个 构 
件 而 是 通过 组 合 这 些 构件 形成 的 复合 构件 的 接口 。 复 
合 构 件 中 的 接口 错误 可 能 无 法 通过 测试 各 个 对 象 来 发 | 
现 ， 因 为 这 些 错误 来 自 于 构件 中 对 象 之 间 的 交互 。 

程序 构件 之 间 存 在 不 同类 型 的 接口 ， 因 此 可 能 发 
生 的 接口 错误 有 如 下 这 些 类 型 。 

1. 参数 接口 。 这 种 接口 中 数据 或 者 有 时 候 函 数 引 
用 从 一 个 构件 传递 到 另 一 个 。 一 个 对 象 中 的 方法 有 一 
个 参数 接口 。 

2. 共享 存储 接口 。 这 种 接口 中 会 在 构件 之 间 共 享 
一 块 存储 。 数 据 由 一 个 子 系统 放 在 存储 中 ， 然 后 由 其 eis was 
他 子 系统 从 那里 读 取 数 据 。 这 种 接口 在 舱 入 式 系 统 中 E 
使 用 ， Ep HER A Se a h Eb he HS A Se A Ah YH. 

3. 过 程式 接口 。 这 种 接口 中 一 个 构件 封装 了 一 组 可 以 由 其 他 构件 调用 的 过 程 。 对 象 和 可 
复 用 构件 有 这 种 形式 的 接口 。 

4. 消息 传递 接口 。 这 种 接口 中 一 个 构件 通过 传递 消息 来 从 另 一 个 构件 那里 请 求 服务 。 返 
回 消 息 包 括 执行 服务 的 结果 。 一 些 面 向 对 象 系统 有 这 种 形式 的 接口 ， 客 户 - 服务 器 系统 也 是 
这 样 。 

接口 错误 是 复杂 系统 中 最 常见 的 一 种 错误 形式 之 一 (Lutz 1993 )。 这 些 错误 包括 以 下 3 
种 类 型 。 

© 接口 误 用 。 一 个 调用 构件 在 调用 其 他 构件 并 且 在 使 用 其 他 构件 的 接口 时 犯 了 一 个 错 

误 。 这 类 错误 在 参数 接口 中 很 常见 ， 其 中 参数 可 能 类 型 错误 、 传 递 顺序 不 对 或 者 传 
递 的 参数 数量 不 对 。 

o 接口 误解 。 一 个 调用 构件 误解 了 所 调用 构件 的 接口 的 规格 说 明 ， 并 对 它 的 行为 做 出 
了 假设 。 所 调用 的 构件 行为 与 预期 不 符 ， 从 而 导致 调用 构件 中 的 非 预期 行为 。 例 如 ， 
一 个 二 分 查找 方法 在 被 调用 时 所 传人 的 参数 可 能 是 一 个 未 排序 的 数组 。 这 样 的 查找 
会 失败 。 
时 间 性 错误 。 这 些 错 误 在 使 用 共享 存储 或 消息 传递 接口 的 实时 系统 中 发 生 。 数 据 的 
生产 者 和 消费 者 可 能 以 不 同 的 速度 运行 。 除 非 在 接口 设计 中 进行 了 特殊 考虑 ， 否 则 
消费 者 可 能 会 访问 到 过 时 的 信息 ， 因 为 信息 的 生产 者 没有 更 新 共享 接口 的 信息 。 

测试 接口 缺陷 很 困难 ， 因 为 一 些 接口 缺陷 只 会 在 一 些 非常 条 件 下 才 会 表现 出 来 。 例 如 ， 
一 个 对 和 象 将 一 个 队列 实现 为 一 个 固定 长 度 的 数据 结构 ， 一 个 调用 对 象 可 能 会 假设 该 队列 被 实 
现 为 一 个 无 穷 数据 结构 ， 因 此 在 输入 一 个 数据 项 时 没有 检查 队列 溢出 。 

只 能 通过 设计 一 系列 测试 用 例 来 迫使 队列 溢出 ， 这 样 才能 发 现 上 述 情 况 。 这 些 测 试 应 当 
检查 调用 对 象 如 何 处 理 溢出 。 然 而 ， 由 于 这 种 情况 很 稀少 ， 测 试 人 员 可 能 会 在 为 队列 对 象 编 
写 测 试 集 时 觉得 不 值得 检查 。 

不 同 模块 或 对 象 中 的 缺陷 之 间 的 交互 有 可 能 会 产生 进一步 的 问题 。 一 个 对 象 中 的 缺陷 可 
能 只 在 一 些 其 他 对 象 按照 非 预期 的 方式 表现 时 才 会 被 发 现 。 例 如 ， 一 个 对 象 调用 其 他 对 象 以 
接受 一 些 服务 ， 调 用 对 象 假设 返回 结果 是 正确 的 。 如 果 所 调用 的 服务 有 某 种 错误 ， 那 么 所 返 
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回 的 值 可 能 是 合法 的 但 是 不 正确 。 因 此 ， 该 问题 并 不 能 马上 发 现 ， 而 只 能 当 进 行 后 续 的 一 些 
使 用 该 返回 值 的 计算 出 错时 才 被 发 现 。 

接口 测试 的 一 些 通用 指南 包括 以 下 几 条 。 

1. 检查 要 测试 的 代码 ， 识 别 每 一 个 对 于 外 部 构件 的 调用 。 设 计 一 组 测试 ， 其 中 对 于 外 部 
构件 的 参数 值 处 于 它们 取 值 范围 的 极限 边界 上 ， 这 些 极限 值 最 有 可 能 揭示 接口 不 一 致 性 。 

2. 对 于 任何 在 接口 上 传递 的 指针 ， 总 是 使 用 空 指 针 参 数 测试 接口 。 

3. 对 于 任何 通过 过 程 接口 调用 的 构件 ， 设 计 故 意 导致 构件 失效 的 测试 。 不 同 的 失效 假设 
是 规格 说 明 误 解 最 常见 的 一 种 情况 。 

4. 在 消息 传递 系统 中 使 用 压力 测试 。 这 意味 着 你 应 当 设计 一 些 测试 ， 会 产生 比 实践 中 正 
前 情况 下 可 能 出 现 的 多 得 多 的 消息 。 这 是 一 种 发 现时 间 性 错误 的 有 效 方法 。 

5. 当 多 个 构件 通过 共享 存储 交互 时 ， 设 计 改 变 这 些 构件 被 激活 的 顺序 的 测试 。 这 些 测试 
可 能 会 发 现 程序 员 对 于 共享 数据 产生 和 消费 的 顺序 的 隐 式 假设 。 

有 时 候 使 用 审查 和 评审 而 不 是 测试 来 寻找 接口 错误 会 更 好 。 审 查 可 以 关注 构件 接口 以 及 
在 审查 过 程 中间 到 的 关于 所 假设 的 接口 行为 的 问题 。 


8.1.4 系统 测试 


开发 过 程 中 的 系统 测试 包括 集成 构件 以 创建 一 个 系统 版 本 ， 然 后 测试 集成 后 的 系统 。 系 
统 测试 检查 构件 是 否 兼容 、 是 否 能 正确 交互 ， 以 及 是 否 能 在 正确 的 时 间 路 越 接口 传输 正确 的 
数据 。 系 统 测试 显然 与 构件 测试 存在 重合 ,但 是 二 者 存在 以 下 两 个 重要 的 区 别 。 

1. 在 系统 测试 过 程 中 ,独立 开发 的 可 复 用 构件 和 成 品系 统 可 能 会 与 新 开发 的 构件 相 集 
成 。 这 样 就 可 以 对 完整 的 系统 进行 测试 了 。 

2. 由 不 同 团队 成 员 或 子 团队 开发 的 构件 可 以 在 这 个 阶段 进行 集成 。 系 统 测试 是 一 个 集体 
的 过 程 而 不 是 个 别 的 过 程 。 在 有 些 企 业 中 ， 会 由 一 个 独立 的 没有 参加 过 该 系统 设计 和 实现 的 
测试 团队 来 进行 系统 测试 。 

所 有 系统 都 有 一 些 涌 现 性 的 行为 。 这 意味 着 一 些 系统 功能 和 特性 只 有 当 把 构件 放 到 一 起 
时 才 会 显现 出 来 。 这 些 行 为 可 能 是 计划 好 的 涌现 性 行为 ， 这 种 行为 必须 进行 测试 。 例 如 ， 将 
一 个 号 份 认证 构件 和 一 个 更 新 系统 数据 库 的 构件 相 集成 ， 这 样 就 有 了 一 个 限制 只 允许 授权 用 
户 进行 信息 更 新 的 系统 特性 。 然 而 ， 有 时 候 涌现 性 行为 不 是 计划 好 的 并 且 是 不 希望 看 到 的 。 
必须 开发 测试 来 确认 系统 只 做 那些 希望 它 做 的 事情 。 

系统 测试 应 当 关 注 测试 构成 一 个 系统 的 构件 和 对 和 象 之 间 的 交互 ， 还 可 能 会 在 可 复 用 构件 
或 系统 与 新 构件 集成 时 对 它们 进行 测试 ， 以 确认 它们 是 否 如 预期 的 一 样 运作 。 这 一 集成 测试 
应 当 发 现 那些 只 有 当 一 个 构件 在 一 个 系统 中 被 其 他 构件 使 用 时 才 会 发 现 的 构件 bugs ZEW 
试 还 有 助 于 发 现 构件 开发 者 对 系统 中 的 其 他 构件 所 产生 的 误解 。 

由 于 用 况 关 注 交 互 ， 因 此 基于 用 况 的 测试 是 一 种 有 效 的 系统 测试 方法 。 系 统 中 的 每 一 个 
用 况 通 常 都 是 由 多 个 构件 或 对 象 实现 的 。 测 试用 例会 驱动 这 些 交 互 发 生 。 如 果 开 发 了 一 个 顺 
序 图 来 建 模 用 况 实现 ， 那 么 可 以 看 到 参与 交互 的 对 象 或 构件 。 

在 野外 气象 站 的 例子 中 ， 系 统 软件 向 一 个 远程 的 计算 机 报告 汇总 后 的 气象 数据 ， 如 
图 7-3 所 示 。 图 8-8 显示 了 气象 站 系统 在 啊 应 为 地 图 系统 收集 数据 的 请 求 时 的 操作 序列 。 可 
以 用 这 幅 图 来 识别 将 要 进行 测试 的 操作 ， 并 帮助 设计 测试 用 例 来 执行 这 些 测试 。 因 此 ， 发 出 
一 个 气象 数据 报告 的 请 求 可 以 引发 下 面 这 个 方法 线程 的 执行 : 
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图 8-8 ”收集 气象 数据 顺序 图 


SatComms:request 一 WeatherStation:reportWeather 一 Commslink:Get (summary ) 

—  WeatherData:summarize 

顺序 图 帮助 设计 人 员 设 计 出 所 需要 的 特定 的 测试 用 例 ， 因 为 它 显 示 了 需要 什么 样 的 输入 
以 及 产生 什么 样 的 输出 ， 例 如 这 个 例子 中 的 如 下 这 些 信息 。 

1. 获取 报告 的 请 求 的 输入 应 当 有 一 个 相关 的 应 答 。 一 个 报告 应 当 最 终 从 请 求 中 返回 。 在 
测试 过 程 中 ， 应 当 创建 可 以 用 于 确认 报告 的 组 织 是 否 正确 的 汇总 数据 。 

2. 一 个 针对 WeatherStation 的 报告 请 求 的 输入 会 导致 生成 一 个 汇总 报告 。 通 过 创建 对 
应 于 你 为 SatComms 的 测试 所 准备 的 汇总 信息 原始 数据 ， 并 且 检 查 WeatherStation 对 象 是 否 
正确 地 产生 了 这 一 汇总 ， 可 以 独立 对 其 进行 测试 。 这些 原始 数据 还 被 用 于 测试 WeatherData 
对 象 。 

当然 ,图 8-8 中 的 顺序 图 中 进行 了 人 简化， 从 而 让 其 不 显示 异常 。 一 个 完整 的 用 况 /场景 
测试 必须 考虑 这 些 异常 并 且 确 保 它 们 都 得 到 了 正确 处 理 。 对 于 大 多 数 系统 ， 想 知道 有 多 少 系 
统 测试 是 重要 的 以 及 何 时 应 该 停止 测试 都 是 很 难 的 。 彻 底 的 测试 ， 即 对 每 一 个 可 能 的 程序 执 
行 序列 都 进行 测试 ， 是 不 可 能 的 。 因 此 ， 测 试 必须 基于 所 有 可 能 的 测试 用 例 的 一 个 子 集 。 理 
想 情 况 下 ， 软 件 公司 应 当 有 如 何 挑选 这 一 子 集 的 策略 。 这 些 策 略 可 能 会 基于 通用 的 测试 策 
略 ， 例 如 所 有 的 程序 语句 都 应 该 被 测试 至 少 一 次 ; 或 者 也 可 以 基于 系统 使 用 的 经 验 并 关注 测 
试 运行 系统 的 特征 。 例 如 : 

1. 通过 菜单 访问 的 所 有 系统 功能 都 应 该 进行 测试 。 

2. 通过 同样 的 菜单 访问 的 功能 组 合 (例如 文本 格式 化 ) 必须 进行 测试 。 

3. 在 任何 提供 了 用 户 输入 的 地 方 ， 所 有 的 功能 必须 同时 使 用 正确 的 和 不 正确 的 输入 进行 
测试 。 

从 来 自 于 一 些 主要 的 软件 产品 (例如 ， 字 处 理 软件 或 电子 表格 ) 的 经 验 来 看 ， 产 品 测试 
过 程 中 通常 会 使 用 相似 的 指南 。 当 软件 的 特征 分 开 独 立 使 用 时 ， 它 们 通常 都 可 以 工作 。 但 
是 ， 如 同 Whittake 所 述 (Whittaker 2009 )， 当 没 那 么 常用 的 特征 的 组 合 没有 被 一 起 测试 过 的 
时 候 ， 经 常会 出 问题 。 他 给 出 了 一 个 例子 ， 在 一 个 广泛 使 用 的 字 处 理 软 件 中 ， 使 用 带 有 多 列 
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布局 的 脚注 导致 了 不 正确 的 文本 布局 。 

系统 测试 的 自动 化 通常 比 单元 测试 或 构件 测试 要 难 。 自 动 化 的 单元 测试 依赖 于 预测 输出 
然后 将 这 些 预 测 编 码 到 程序 中 。 这 一 预测 接 下 来 会 与 结 采 进行 比较 。 然 而 ， 一 个 系统 实现 所 
产生 的 输出 则 会 很 大 或 者 很 难 预测 。 也 许可 以 在 不 需要 提前 进行 预测 的 情况 下 检查 一 个 输出 
并 确定 它 的 可 信和 度 。 









© 增 量 的 集成 和 测试 


系统 测试 包括 集成 不 同 的 构件 然后 对 所 创建 的 集成 后 的 系统 进行 测试 。 应 当 总 是 使 
用 一 种 增 量 的 方法 来 进行 集成 和 测试 ， 其 中 要 集成 一 个 构件 ， 测 试 系统 ， 集 成 另 一 个 构 
件 ， 再 进行 测试 ， 等 等 。 如 果 发 生 问题 ， 那 么 问题 很 可 能 是 由 于 与 最 近 集 成 进来 的 构件 的 
交互 导致 的 。 

增 量 的 集成 和 测试 对 于 敏捷 方法 很 重要 ， 会 在 每 次 集成 一 个 新 的 增 量 之 后 执行 回归 
测试 。 







http://software-engineering-book.com/web/integration/ 


8.2 测试 驱动 的 开发 


测试 驱动 的 开发 ( Test-driven development, TDD) 是 一 种 软件 开发 方法 ， 其 中 将 测试 
和 代码 开发 交织 在 一 起 (Beck 2002; Jeffries and Melnik 2007 )。 可 以 增 量 地 开发 代码 以 及 开 
发 一 组 针对 该 增 量 的 测试 。 在 已 经 开发 好 的 代码 通过 所 有 它 的 测试 之 前 ， 不 会 开始 开发 下 
一 个 增 量 。 测 试 驱动 的 开发 是 作为 XP (极限 编程 ) 敏捷 开发 方法 的 一 部 分 被 引入 的 。 然 而 ， 
测试 驱动 的 开发 现在 已 经 得 到 了 主流 的 认同 ， 既 可 以 用 于 敏捷 过 程 又 可 以 用 于 基于 计划 的 
过 程 。 







识别 新 功能 | 


实现 功能 并 重 构 | 


基本 的 测试 驱动 的 开发 过 程 如 图 8-9 所 示 ， 该 过 程 中 的 步骤 如 下 。 

1. 首先 识别 所 需要 的 功能 增 量 。 这 通常 应 当 比 较 小 ， 并 且 可 以 通过 不 多 的 代码 行 就 可 以 
实现 。 

2. 为 这 个 功能 编写 一 个 测试 ， 并 且 将 其 实现 为 一 个 自动 化 测试 。 这 意味 着 该 测试 可 以 执 
行 并 且 会 报告 测试 通过 与 否 。 

3. 接 下 来 运行 该 测试 以 及 所 有 其 他 已 经 实现 的 测试 。 起 初 还 没有 实现 该 功能 ， 因 此 新 的 
测试 会 失败 。 这 是 故意 而 为 的 ， 因 为 这 表明 该 测试 向 测试 集中 增加 了 一 些 新 东西 。 





图 8-9 测试 驱动 的 开发 
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. 4. 然后 实现 该 功能 并 重新 运行 测试 。 其 中 还 可 能 会 包含 重 构 已 有 的 代码 以 对 其 进行 改 
进 ， 并 且 癌 已 有 的 实现 中 增加 新 的 代码 。 

5. 一 旦 所 有 测试 运行 都 成 功 了 了 人， 就 可 以 转 而 实现 下 一 个 功能 了 。 

一 个 自动 化 测试 环境 ,例如 支持 Java 程序 测试 的 JUnit 环境 (Tahchiev et al. 2010 )， 对 
于 测试 驱动 的 开发 很 重要 。 由 于 代码 是 以 很 小 的 增 量 来 开发 的 ， 因 此 必须 能 够 在 每 次 增加 新 
功能 或 者 重 构 程 序 时 运行 每 一 个 测试 。 因 此 ， 测 试 蔡 入 在 一 个 独立 的 程序 中 ， 其 中 会 运行 测 
试 并 且 调 用 所 测试 的 系统 。 使 用 这 种 方法 ， 可 以 在 几 秒 之 内 运行 成 百 上 千 个 不 同 的 测试 。 

测试 驱动 的 开发 帮助 程序 员 阅 明 他 们 关于 一 个 代码 段 实际 上 应 该 做 什么 的 想法 。 为 了 编 
写 一 个 测试 ， 需 要 理解 代码 要 做 什么 ， 因 为 这 一 理解 会 使 编写 所 需要 的 代码 变 得 更 容易 。 当 
然 ， 如 果 只 有 不 完整 的 知识 或 理解 ， 那 么 测试 驱动 的 开发 可 能 没什么 帮助 

如 果 没 有 了 解 足 够 的 信息 以 编写 测试 ， 那 么 就 无 法 开发 所 需要 的 代码 。 例 如 ， 如 果 计 算 
包含 除法 ， 那 么 应 当 确 保 没 有 用 0 去 除 其 他 数字 。 如 果 忘 记 为 此 编写 测试 了 ， 那么 相应 的 检 
查 代码 也 不 会 出 现在 程序 中 。 

除了 更 好 的 问题 理解 ， 测 试 驱动 的 开发 的 其 他 好 处 还 包括 以 下 这 些 。 

1. 代码 履 盖 。 原 则 上 讲 ， 所 编写 的 每 个 代码 段 都 应 当 有 至 少 一 个 相关 的 测试 。 这样 ， 就 
可 以 有 把 握 地 相信 系统 中 的 所 有 代码 都 被 执行 过 了 。 代 码 在 编写 时 就 会 被 测试 ， 因 此 可 以 在 
开发 过 程 中 的 早期 发 现 缺陷 。 

2. 回归 测试 。 测 试 集 随 着 程序 的 开发 增 量 进 行 开 发 。 可 以 总 是 运行 回归 测试 来 确认 对 程 
序 的 修改 没有 引入 新 的 bug。 

3. 简化 的 调试 。 当 一 个 测试 失败 时 ， 问题 出 在 哪里 应 该 很 明显 。 新 写 的 代码 需要 进行 检 
查 和 修改 。 不 需要 使 用 调试 工具 来 定位 问题 。 关 于 测试 驱动 开发 的 使 用 报告 建议 说 ， 在 测试 
驱动 的 开发 中 一 般 不 需要 使 用 自动 化 的 调试 锅 (Martin 2007 ). 

4. 系统 文档 化 。 测 试 自 身 可 以 作为 某 种 形式 的 文档 来 描述 代码 应 该 做 什么 。 阅 读 测试 可 
以 使 理解 代码 变 得 更 容易 。 

测试 驱动 的 开发 的 一 个 最 重要 的 好 处 是 降低 了 回归 测试 的 开销 。 回 归 测 试 要 在 对 一 个 系 
统 进行 了 修改 之 后 运行 已 经 成 功 执行 过 的 测试 集合 。 回 归 测 试 要 确保 这 些 修改 没有 向 系统 中 
引入 新 的 bug， 并 且 新 的 代码 与 已 有 的 代码 按照 预期 的 方式 进行 交互 。 当 一 个 系统 采用 手工 
测试 时 ， 回 归 测 试 很 昂贵 ， 有 时 候 不 切实 际 ， 因 为 所 需要 的 时 间 和 工作 量 开 销 非 常 高 。 因 此 
不 得 不 试图 选择 最 相关 的 测试 来 重新 运行 ， 而 这 样 很 容易 遗漏 重要 的 测试 。 

自动 化 测试 极 大 降低 了 回归 测试 的 开销 。 已 有 的 测试 可 以 快速 、 便 宜 地 重新 运行 。 在 测 
试 先行 的 开发 中 修改 一 个 系统 之 后 ， 所 有 已 有 的 测试 都 必须 在 增加 任何 进一步 的 功能 之 前 成 功 
运行 。 作 为 一 个 程序 员 ， 你 可 以 有 信心 确保 你 所 增加 的 新 功能 没有 导致 已 有 的 代码 出 现 问题 。 

测试 驱动 的 开发 在 开发 新 的 软件 时 最 有 价值 ， 此 时 功能 要 么 在 新 代码 中 实现 、 要 么 使 用 
来 自 标 准 库 中 的 构件 来 实现 。 如 果 复 用 大 的 代码 构件 或 遗留 系统 ， 那 么 需要 作为 一 个 整体 为 
这 些 系统 编写 测试 ， 因 为 很 难 将 它们 分 解 为 不 同 的 可 测试 元 素 。 增 量 的 测试 驱动 的 开发 也 不 
现实 了 。 测 试 驱 动 的 开发 对 于 多 线程 系统 效果 可 能 也 不 好 。 不 同 的 线程 在 不 同 的 测试 运行 中 
可 能 会 在 不 同 的 时 间 交 织 在 一 起 ， 因 此 会 产生 不 同 的 结果 ， 

如 果 使 用 测试 驱动 的 开发 ， 那 么 仍然 需要 一 个 系统 测试 过 程 来 验证 系统 ， 也 就 是 说 确保 
系统 满足 所 有 系统 利益 相关 者 的 需求 。 系 统 测 试 也 会 测试 性 能 、 可 靠 性 ， 并 且 确 保 系统 没有 
做 不 应 该 做 的 事情 ， 例 如 产生 不 希望 的 输出 。Andrea (Andrea 2007 ) 对 于 如 何 对 测试 工具 
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进行 扩展 从 而 将 系统 测试 的 某 些 方面 与 测试 驱动 的 开发 相 集成 给 出 了 一 些 建议 。 

测试 驱动 的 开发 现在 已 经 是 一 种 广泛 使 用 的 主流 软件 测试 方法 。 大 多 数 采 用 这 一 方法 的 
程序 员 都 对 其 感到 满意 ， 并 且 发 现 它 是 一 种 更 有 效 的 软件 开发 方式 。 此 外 ， 也 有 人 宣称 使 用 
测试 驱动 的 开发 可 以 鼓励 更 好 的 程序 结构 以 及 更 好 的 代码 质量 。 然 而 ， 针 对 这 些 说 法 的 验证 
实验 还 没有 什么 明确 的 结 采 。 


8.3 ”发 布 测试 

发 布 测试 是 指 对 一 个 系统 在 开发 团队 以 外 进行 使 用 的 一 个 特定 发 布 进行 测试 的 过 程 。 通 常 ， 
系统 发 布 是 面向 客户 和 用 户 的 。 然 而 ， 在 一 个 复杂 的 项 目 中 ， 发 布 也 可 能 会 面 问 开发 相关 系统 
的 其 他 团队 。 对 于 软件 产品 而 言 ， 发 布 可 能 会 面向 后 续 会 准备 对 其 进行 销售 的 产品 管理 人 员 。 

在 开发 过 程 中 ， 发 布 测试 和 系统 测试 有 以 下 两 个 重要 的 区 别 。 

1. 系统 开发 团队 不 应 该 负责 发 布 测试 。 

2. 发 布 测试 是 一 个 确认 检查 的 过 程 ， 其 目的 是 确保 一 个 系统 满足 它 的 需求 ， 并 且 运 行 得 
足够 好 可 以 由 系统 客户 进行 使 用 。 由 开发 团队 进行 的 系统 测试 应 当 关 注 发 现 系统 中 的 bug( 缺 
陷 测 试 )。 

发 布 测试 过 程 的 主要 目的 是 让 系统 的 供应 商 确 信 系 统 足 够 好 可 以 使 用 了 。 如 果 是 这 样 ， 
那么 产品 就 可 以 发 布 或 交付 给 客户 了 。 因 此 ， 发 布 测试 必须 表明 系统 提供 了 所 要 求 的 功能 、 
性 能 以 及 可 依赖 性 ， 并 且 系 统 不 会 在 正常 使 用 过 程 中 失效 。 

发 布 测试 通常 是 一 个 黑 盒 测试 过 程 ， 其 中 测试 是 基于 系统 规格 说 明 产 生 的 。 系 统 被 视 为 
一 个 黑 盒 ， 它 的 行为 只 能 通过 研究 它 的 输入 和 相关 的 输出 来 确定 。 这 一 测试 的 另 一 个 名 字 是 
功能 测试 ， 这 么 叫 是 因为 测试 人 员 只 关注 功能 而 不 是 软件 的 实现 。 


8.3.1 基于 需求 的 测试 


好 的 需求 工程 实践 的 一 个 一 般 原 则 是 需求 应 该 是 可 测试 的 。 也 就 是 说 ， 需 求 的 编写 应 当 
使 得 可 以 为 其 编写 测试 ， 这 样 测试 人 员 就 可 以 确认 需求 是 否 满足 。 因 此 ， 基 于 需求 的 测试 是 
一 种 系统 性 的 测试 用 例 设计 方法 ， 其 中 需要 考虑 每 一 个 需求 并 为 其 创建 一 组 测试 。 基 于 需求 
的 测试 是 一 种 确认 而 非 缺 陷 测 试 一 一 试图 展示 系统 已 经 适当 地 实现 了 它 的 需求 。 

例如 ， 下 面 是 Mentcare 系统 关注 检查 药物 过 人 敏 的 需求 : 

如 果 已 知 一 个 病人 对 某 些 特定 的 药物 过 敏 ， 那 么 开 该 药物 的 处 方 必 须 导 致 系统 向 用 户 发 
出 一 个 敬告 消 忠 3 

如 果 一 个 开 药 者 选择 忽略 一 个 过 敏 警 告 ， 那 么 他 或 者 她 必须 提供 一 个 理由 说 明 为 什么 急 
略 这 个 警告 。 I 

为 了 检查 这 些 需 求 是 否 得 到 了 满足 ， 可 能 需要 开发 以 下 这 几 个 相关 的 测试 。 

1. 设置 一 条 不 包含 已 知 的 过 敏 症 的 病人 记录 。 针 对 已 知 存在 的 过 敏 症 开 药方 。 检 查 确保 
系统 不 会 发 出 和 警告 消息 。 

2. 设置 一 条 包含 已 知 的 过 敏 症 的 病人 记录 。 针 对 该 病人 过 敏 的 药物 开 处 方 ， 检 查 确 保 系 
统 会 发 出 警告 消息 。 

3. 设置 一 条 记录 了 两 个 或 多 个 药物 过 敏 的 病人 记录 。 分 开 对 这 些 药 物 开 药方 ， 检 查 确 保 
针对 每 个 药物 的 警告 都 能 正确 发 出 。 

4. 在 药方 中 同时 包括 病人 过 敏 的 两 种 药物 。 检 查 确保 两 条 警告 都 能 正确 地 发 出 。 
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5. 开 一 个 会 发 出 过 敏 警 告 的 药方 并 且 忽 略 该 敬告。 检查 确保 系统 要 求 用 户 提 供 信息 解释 
为 什么 忽略 该 警告 。 

从 这 个 列表 中 可 以 看 出 ， 测 试 一 个 需求 并 不 意味 着 只 写 一 条 测试 就 够 了 了。 通常 不 得 不 编 
写 多 个 测试 来 确保 已 经 很 好 地 覆盖 了 该 需求 。 还 应 当 保 持 基 于 需求 的 测试 的 追踪 关系 记录 ， 
该 追踪 关系 将 测试 链接 到 所 测试 的 特定 需求 上 。 


8.3.2 场景 测试 


场景 测试 是 一 种 发 布 测试 方法 ， 即 设想 出 典型 的 使 用 场景 并 使 用 这 些 场景 来 为 系统 开发 
测试 用 例 。 一 个 场景 是 一 个 描述 了 系统 可 能 的 使 用 方式 的 故事 。 场 景 应 当 是 现实 的 ， 真实 的 
系统 用 户 应 当 能 够 与 其 建立 联系 。 如 果 在 需求 工程 过 程 ( 见 第 4 章 ) 中 使 用 过 场景 或 用 户 故 
事 ， 那 么 也 许 能 够 将 它们 复 用 作为 测试 场景 。 

在 一 个 关于 场景 测试 的 短文 中 ，Kaner (Kaner 2003 ) 提 到 场景 测试 应 当 是 一 个 具有 可 
信 性 并 且 有 一 定 复杂 性 的 叙述 性 的 故事 。 它 应 当 触 发 利益 相关 者 的 积极 性 ， 也 就 是 说 利益 相 
关 者 应 当 与 该 场景 建立 联系 并 且 相 信 系 统 通 过 测试 是 很 重要 的 。 他 还 建议 场景 测试 应 该 很 容 
易 进 行 评 估 。 如 果 系 统 中 存在 问题 ， 那 么 发 布 测试 团队 应 该 发 现 问题 。 


George 是 心理 健康 保健 的 专业 护士 。 他 的 职责 之 一 是 去 病人 家 里 进行 访问 ， 以 确定 治疗 是 否 有 效 
以 及 病人 有 没有 产生 药物 副作用 。 

一 天 ，George 进行 病人 家 访 ， 他 登录 到 Mentcare 系统 中 ， 使 用 该 系统 打印 当天 的 家 访 日 程 表 以 及 
关于 要 访问 的 病人 的 摘要 信息 。 他 请 求 将 这 些 病 人 的 记录 下 载 到 自己 的 笔记 本 电脑 上 上 。 系 统 提示 
他 提供 密 钥 短语 从 而 在 笔记 本 电脑 上 对 记录 进行 加 密 。 

George 要 访问 的 一 个 病人 是 Jim， 他 正在 接受 抗 抑郁 症 药物 治疗 。Jim 感到 药物 正在 帮助 他 改善 
状况 但 是 认为 药物 有 副作用 一 一 晚上 会 让 他 睡 不 着 。George 检索 Jim 的 记录 ， 系 统 提示 要 求 提供 


他 的 密 钥 短语 来 解密 记录 。 他 检查 了 所 开 的 药物 并 且 查 询 了 药物 的 副作用 。 失 虐 是 一 个 已 知 的 副 
作用 ， 因 此 他 在 Jim 的 记录 中 备注 了 这 个 问题 ,并 且 建 议 他 去 看 门诊 修改 一 下 药方 。Jim 同意 了 ， 
George 输入 了 一 条 提示 以 提醒 他 回 到 诊所 后 跟 医 生 做 一 下 预约 。George 结束 了 本 次 访问 ， 系 统 重 
新 对 Jim 的 记录 进行 加 密 。 

完成 本 次 访问 后 ，George 返回 诊所 ， 将 所 访问 的 病人 记录 上 传 到 数据 库 中 。 系 统 为 George 生成 一 
个 联系 清单 ， 其 中 包括 他 要 联系 获取 后 续 信息 并 进行 诊所 预约 的 病人 。 





图 8-10 Mentcare 系统 的 一 个 用 户 故 事 


作为 一 个 来 自 Mentcare 系统 的 一 个 可 能 的 场景 的 例子 ， 图 8-10 描述 了 系统 用 于 家 访 时 
的 一 种 使 用 方式 。 该 场景 测试 了 一 些 Mentcare 系统 的 特征 。 

1. 通过 登录 系统 进行 身份 认证 ; 

2. 在 笔记 本 电脑 上 下 载 和 上 传 指定 的 病人 记录 ; 

3. 病 人 家 访 日 程 安排 ; 

4, 在 移动 设备 上 进行 病人 记录 的 加 密 和 解密 ; 

5. 病人 记录 检索 和 修改 ; 

6. 连接 保存 了 副作用 信息 的 药物 数据 库 ; 

7. 用 于 联系 提示 的 系统 。 

如 果 你 是 一 个 发 布 测试 人 员 ， 你 要 运行 整个 场景 ， 扮 演 George 的 角色 并 且 观 察 系统 如 
何 对 不 同 的 输入 进行 响应 和 表现 。 作 为 George， 你 可 能 会 故意 犯 一 些 错 误 ， 例 如 输入 错误 
的 密 钥 短 语 来 解密 记录 。 这 可 以 检查 系统 对 于 错误 的 响应 。 你 应 该 仔细 地 记录 任何 出 现 的 问 
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题 ， 包 括 性 能 问题 。 如 果 系 统 很 慢 ， 那 么 系统 使 用 的 方式 会 发 生 改 变 。 例 如 ， 如 果 加 密 一 个 
病人 记录 要 花费 很 长 时 间 ， 那 么 时 间 很 紧 的 用 户 可 能 会 跳 过 这 个 步骤 。 如 果 他 们 丢失 了 他 们 
的 笔记 本 ， 那 么 一 个 非 授 权 的 人 就 可 以 看 到 病人 记录 耳 。 

在 使 用 基于 场景 的 方法 时 ， 通常 都 会 在 同一 个 场景 之 中 测试 多 个 需求 。 因 此 ， 除 了 检查 
确认 单个 需求 ， 也 应 检查 确认 这 些 需求 的 组 合 没 有 造成 问题 。 


8.3.3 性 能 测试 


一 旦 一 个 系统 已 经 完全 完成 了 集成 ， 那么 就 可 以 对 涌现 性 属性 (例如 性 能 和 可 靠 性 ) 进 
行 测试 了 。 必 须 设计 性 能 测试 以 确保 系统 可 以 处 理 预计 承受 的 负载 。 这 通常 都 要 运行 一 系列 
测试 ， 其 中 会 不 断 增 加 负载 直到 系统 性 能 变 得 无 法 接受 。 

跟 其 他 类 型 的 测试 一 样 ， 性 能 测试 既 关 注 展示 系统 满足 其 需求 又 关注 发 现 系统 中 的 问题 
和 缺陷 。 为 了 测试 性 能 需求 是 否 得 到 满足 ， 可 能 要 构造 一 个 运行 说 明 。 一 个 运行 说 明 (〈 见 第 
11 章 ) 是 一 组 反映 将 由 系统 进行 处 理 的 各 种 实际 工作 的 测试 。 因 此 ,如 果 一 个 系统 中 90% 
的 事务 属于 类 型 A，5% 属于 类 型 B， 而 剩 下 的 都 是 类 型 C、D、E， 那 么 设计 的 运行 说 明 中 
大 部 分 测试 要 针对 类 型 A。 否 则 的 话 ， 就 无 法 获得 对 于 系统 运行 性 能 的 准确 测试 。 

当然 ， 该 方法 并 不 是 缺陷 测试 的 最 佳 方法 。 经 验 表 明 发 现 缺 陷 的 一 种 有 效 方 式 是 围绕 系 
统 的 限制 设计 测试 。 在 性 能 测试 中 ， 这 意味 着 以 超出 软件 的 设计 极限 的 方式 发 出 请 求 、 给 予 
系统 压力 。 这 被 称 为 压力 测试 。 

假设 你 正在 测试 一 个 事务 处 理 系统 ， 该 系统 被 设计 用 于 处 理 每 秒 不 超过 300 笔 交 易 。 一 
开始 你 用 每 秒 不 到 300 笔 事 务 的 压力 对 系统 进行 测试 。 然 后 你 再 逐步 增加 系统 的 压力 到 超出 
每 秒 300 笔 事务 ， 百 到 压力 远 超 最 大 的 设计 系统 负载 并 造成 系统 失效 。 

压力 测试 可 以 帮助 你 做 以 下 两 件 事 情 。 

1. 测试 系统 的 失效 行为 。 意 料 之 外 的 一 些 事 件 组 合 可 能 会 导致 系统 负载 超出 预计 的 最 大 
负载 的 情形 发 生 。 在 这 些 情 况 下 ， 系 统 失效 不 应 该 造成 数据 丢失 或 非 预期 的 用 户 服务 损失 。 
压力 测试 检查 是 确保 系统 在 过 载 时 导致 系统 “ 软 性 失效 ”而 不 是 在 过 量 负载 下 发 生 严 重 毅 溃 。 

2. 揭示 那些 只 会 在 系统 满 负载 运转 时 出 现 的 缺陷 。 虽 然 有 人 会 说 这 些 缺 陷 在 正常 使 用 时 
不 太 会 导致 系统 失效 ,但 是 压力 测试 所 模拟 的 非 正 常 的 情形 组 合 仍然 可 能 发 生 。 

压力 测试 对 于 基于 处 理 带 网 络 的 分 布 式 系统 尤其 重要 。 这 些 系 统 经 常会 在 负载 很 重 时 
表现 出 严重 的 退化 。 网 络 会 被 不 同 处 理 融 必须 交换 的 协调 数据 所 淹没 。 相 关 的 处 理 过 程 会 在 
等 待 所 需要 的 来 自 于 其 他 过 程 的 数据 时 变 得 越 来 越 慢 。 压 力 测试 帮助 发 现 何 时 系统 会 发 生 退 
化 ， 这 样 就 可 以 在 系统 中 加 入 检查 从 而 在 超过 临界 点 后 拒绝 新 的 事务 请 求 。 


8.4 用 户 测试 

用 户 或 客户 测试 是 一 个 测试 过 程 阶段 ， 其 中 用 户 或 测试 提供 他 们 对 于 系统 测试 的 输入 和 建 
议 。 这 可 以 是 接受 来 自 一 个 外 部 供应 商 的 委托 对 一 个 系统 进行 正式 的 测试 ， 也 可 以 是 一 个 非 正 
式 的 过 程 ， 其 中 用 户 使 用 一 个 新 的 软件 产品 进行 试验 ， 看 看 是 否 喜欢 这 个 产品 ， 并 检查 确保 该 
产品 做 了 他 们 所 需要 的 事情 。 用 户 测试 很 重要 ， 即 使 已 经 进行 了 全 面 的 系统 测试 和 发 布 测试 ， 
来 自用 户 工 作 环境 的 影响 可 能 会 对 一 个 系统 的 可 靠 性 、 性 能 、 可 用 性 和 和 鲁 棒 性 产生 重要 的 影响 。 

在 实践 中 ， 对 于 系统 开发 者 而 言 ， 复 制 系统 的 工作 环境 一 般 都 是 不 可 能 的 ， 因 为 开发 者 
环境 中 的 测试 不 可 避免 地 会 包含 人 为 构造 的 成 分 。 例 如 ， 一 个 计划 在 医院 中 使 用 的 系统 在 一 
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个 门诊 环境 中 使 用 ， 其 中 还 有 其 他 一 些 事情 在 进行 ， 例如， 病人 的 危急 状况 以 及 与 亲属 的 谈 
话 等 ， 这 些 都 会 影响 系统 的 使 用 ,但 是 开发 者 无 法 在 他 们 的 测试 环境 中 包括 这 些 东 西 。 

有 3 种 不 同类 型 的 用 户 测 试 。 

1. a 测试 ， 一 组 经 挑选 的 软件 用 户 与 开发 团队 密切 配合 工作 ， 对 软件 的 早期 发 布 进行 测试 ; 

2. B 测试 ， 回 一 组 更 大 规模 的 用 户 提供 一 个 软件 的 发 布 版 本 ， 人 允许 他 们 在 上 面 进 行 试 
验 ， 并 将 他 们 所 发 现 的 问题 报告 给 系统 开发 者 ; 

3. 验收 测试 ， 客 户 对 一 个 系统 进行 测试 以 确定 其 是 否 已 经 就 绪 ， 是 否 可 以 从 系统 开发 者 
那里 接收 过 来 并 且 在 客户 环境 中 进行 部 署 。 

在 a 测试 中 ， 用 户 和 开发 者 在 系统 开发 过 程 中 一 起 工作 来 对 系统 进行 测试 。 这 意味 着 
用 户 可 以 发 现 那些 对 开发 测试 团队 来 说 不 那么 明显 的 问题 。 开 发 者 实际 上 只 能 基于 需求 进行 
工作 ， 但 是 这 些 需求 经 常 没 有 反映 其 他 影响 软件 实际 使 用 的 因素 。 因 此 ， 用 户 可 以 提供 关于 
实践 的 信息 ， 从 而 帮助 设计 出 更 加 现实 的 测试 。 

a 测试 经 常 在 开发 软件 产品 或 应 用 程序 时 使 用 。 对 于 这 些 产 品 有 经 验 的 用 户 可 能 会 愿 
BBS a 测试 过 程 ， 因 为 这 使 得 他 们 可 以 较 早 地 了 解 他 们 可 以 进一步 探索 的 关于 新 系统 特 
性 的 信息 ， 这 也 可 以 降低 软件 发 生意 料 之 外 的 变化 从 而 干扰 用 户 的 业务 的 风险 。a 测试 也 
可 以 在 开发 定制 化 软件 的 时 候 进 行使 用 。 敏 捷 开 发 方法 追求 用 户 参 与 开发 过 程 ， 并 且 用 户 应 
当 在 设计 系统 测试 时 扮演 关键 的 角色 。 

B 测试 用 于 将 一 个 软件 系统 的 早期 (有 时 候 还 未 完成 ) 发 布 提供 给 一 个 更 大 范围 的 客户 
和 用 户 群 体 进行 评估 。B 测试 的 参与 人 员 可 以 是 一 组 经 过 挑选 的 客户 ， 他 们 一 般 都 是 系统 
的 早期 采用 者 。 或 者 ， 也 可 以 将 软件 公开 提供 出 去 ， 使 任何 有 兴趣 试用 的 人 都 可 以 使 用 。 

B 测试 主要 用 于 要 在 许多 不 同 的 条 件 下 使 用 的 软件 产品 。B 测试 很 重要 ， 因 为 与 定制 
化 产品 开发 者 不 同 ， 普 通 产品 开发 者 无 法 限制 软件 的 运行 环境 。 产 品 开发 者 也 无 法 知道 并 复 
制 所 有 软件 产品 未 来 的 使 用 条 件 。 因 此 ， 可 以 利用 B 测试 发 现 软件 与 它 的 运行 环境 特性 之 
间 的 交互 。B 测试 也 可 以 成 为 某 种 形式 的 市 场 营销 。 客 户 通过 B 测试 了 解 系统 以 及 系统 可 
以 为 他 们 做 些 什么 。 

验收 测试 是 定制 化 系统 开发 的 一 个 内 在 部 分 。 客 户 使 用 他 们 自己 的 数据 对 一 个 系统 进行 
测试 ， 并 决定 是 否 可 以 从 系统 开发 者 那里 接收 系统 。 验 收 意味 着 应 该 为 软件 进行 最 终 的 付款 。 






Ex ) 设计 验收 
验收 准则 测试 用 例 山 
图 8-11 验收 测试 过 程 


图 8-11 描述 了 验收 测试 过 程 所 包含 的 如 下 6 个 阶段 。 

1. 定义 验收 准则 。 理 想 情 况 下 ， 这 个 阶段 应 当 在 开发 过 程 中 很 早 就 发 生 ， 一 般 在 系统 的 
开发 合同 签署 之 前 。 验 收 准则 应 当成 为 系统 开发 合同 的 一 部 分 ， 并 且 得 到 客户 和 开发 方 的 批 
准 。 然 而 ， 在 实践 中 ， 在 开发 过 程 中 很 早 就 定义 准则 是 很 困难 的 。 此 时 可 能 还 没有 详细 的 需 
求 ， 而 且 需 求 在 开发 过 程 中 几乎 总 是 会 发 生变 化 。 

2. 计划 验收 测试 。 这 个 阶段 会 确定 验收 测试 所 需要 的 资源 、 时 间 和 预算 ， 并 建立 一 个 测 
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坛 日 程 表 。 验 收 测试 计划 还 应 当 探讨 所 需要 的 需求 覆盖 度 以 及 系统 特征 的 测试 顺序 。 计 划 中 
应 当 定 义 测 试 过 程 的 风险 ， 例 如 系统 前 溃 以 及 性 能 不 足 ， 并 讨论 如 何 缓解 这 些 风险 。 

3. 设计 验收 测试 用 例 。 一 旦 建立 验收 测试 准则 后 ,就 可 以 设计 测试 用 例 来 检查 系统 是 否 
可 以 接受 。 验 收 测试 的 目标 应 该 是 同时 测试 系统 的 功能 和 非 功能 性 特性 。 理 想 情况 下 这 些 测 
试 应 该 提供 完整 的 系统 需求 履 盖 。 然 而 在 实践 中 ， 建 立 完整 的 客观 验收 准则 是 很 困难 的 。 因 
此 ， 关 于 某 个 测试 是 否 足 以 显示 某 个 准则 已 经 肯定 被 满足 经 常会 存在 争议 。 

4. 运行 验收 测试 。 协 商 达 成 一 致 的 验收 测试 在 系统 上 执行 。 理 想 情况 下 ， 这 一 步骤 应 当 
在 系统 将 运行 的 真实 环境 中 进行 ， 然 而 这 样 可 能 会 带 来 干扰 并 且 不 实际 。 因 此 ， 必 须要 建立 
一 个 用 户 测 试 环境 来 运行 这 些 测试 。 这 一 过 程 很 难 自动 化 ， 因 为 验收 测试 中 的 一 些 部 分 会 包 
含 对 最 终 用 户 和 系统 之 间 交 互 的 测试 。- 可 能 需要 对 最 终 用 户 进 行 培训 。 

5. 协商 测试 结果 。 所 有 已 定义 的 验收 测试 都 通过 并 且 系 统 没有 任何 问题 ， 这 是 不 太 可 
能 的 。 如 果真 是 这 样 的 话 ， 那 么 验收 测试 完成 ， 系 统 就 可 以 交接 了 。 然 而 更 常见 的 情况 是 会 
发 现 一 些 问 题 。 这 种 情况 下 ， 开 发 者 和 客户 必须 进行 协商 以 决定 系统 是 否 是 够 好 并 可 以 使 用 
了 。 他 们 还 必须 就 开发 者 将 如 何 修 复 所 发 现 的 问题 达成 一 致意 见 。 

6. 接受 或 拒绝 系统 。 这 个 阶段 中 开发 者 和 客户 要 进行 会 谈 以 确定 系统 是 否 可 以 接受 。 如 
果 系统 不 够 好 ， 还 无 法 使 用 ， 那 么 需要 进一步 的 开发 来 修复 所 发 现 的 问题 。 一 旦 完成 ， 还 要 
重新 进行 验收 测试 阶段 。 

你 可 能 会 认为 验收 测试 是 一 个 清晰 的 合同 问题 。 如 有 果 一 个 系统 没有 通过 验收 测试 ， 那 么 
系统 不 应 该 被 接受 ， 不 应 该 进行 付款 。 然 而 ， 现 实 往往 更 加 复杂 。 客 户 由 于 立即 部 署 可 以 获 
得 一 些 好 处 ， 因 此 想 尽快 使 用 软件 。 他 们 可 能 会 购买 好 了 新 的 硬件 ,训练 了 工作 人 员 ， 并 且 
改变 了 他 们 的 过 程 。 他 们 可 能 会 在 软件 还 存在 问题 的 情况 下 就 愿意 接受 该 软件 ， 因 为 不 使 用 
软件 的 成 本 会 比 处理 那 些 软件 中 的 问题 的 成 本 更 高 。 

因此 ， 协 商 的 结果 可 能 是 有 条 件 地 接受 系统 。 客 户 会 接受 系统 ,这样 部 署 可 以 开始 。 系 
统 提供 者 同意 修复 紧急 的 问题 并 向 客户 尽快 交付 一 个 新 版 本 。 

在 敏捷 方法 (例如 极限 编程 ) 中 ， 可 能 没有 独立 的 验收 测试 活动 。 最 终 用 户 是 开发 团队 
的 一 部 分 (也 就 是 说 他 是 a 测试 人 员 )， 并 下 以 用 户 故事 的 方式 提供 系统 需求 。 他 也 会 负责 
定义 测试 ， 这 些 测 试 决定 了 所 开发 的 软件 是 否 支 持 用 户 故 事 。 因 此 ， 这 些 测试 等 同 于 验收 测 
试 。 相 关 测试 是 自动 化 的 ， 在 用 户 故 事 的 验收 测试 没有 成 功 执行 之 前 ， 开 发 不 会 问 前 推进 。 

当 用 户 被 纳入 一 个 软件 开发 团队 之 中 的 时 候 ， 理 想 情况 下 他 们 应 该 是 具有 关于 系统 如 何 
使 用 的 一 般 知 识 的 “典型 ”用 户 。 然 而 ， 寻 找 这 样 的 用 户 可 能 很 难 ， 因 此 验收 测试 实际 上 可 
能 无 法 真正 反映 系统 在 实践 中 是 如 何 使 用 的 。 而 且 ， 自 动 化 测试 的 要 求 限制 了 测试 交互 式 系 
统 的 灵活 性 。 对 于 这 样 的 系统 ， 验 收 测试 可 能 要 求 一 些 最 终 用 户 按照 目 己 日 第 工作 的 方式 来 
使 用 系统 。 因 此 ， 虽 然 原 则 上 “用 户 参与 ”是 一 个 很 有 吸引 力 的 思想 ， 但 是 它 并 不 一 定 会 得 
到 高 质量 的 系统 测试 。 

用 户 参 与 敏捷 团队 会 产生 一 些 问 题 ， 因 此 许多 公司 将 敏捷 和 更 传统 的 测试 方法 混合 使 
用 。 系 统 可 能 使 用 敏捷 技术 开发 ， 但 是 完成 一 个 主要 的 发 布 后 会 使 用 独立 的 验收 测试 来 确定 
是 否 应 该 接受 该 系统 。 


要 所 
。 测试 只 能 显示 程序 中 存在 错误 ， 但 这 并 不 能 说 明 程 序 中 没有 剩 下 的 缺陷 。 
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e 开发 测试 是 软件 开发 团队 的 责任 。 一 个 独立 的 团队 应 该 负责 在 一 个 系统 发 布 给 客户 
之 前 对 其 进行 测试 。 在 用 户 测试 过 程 中 ， 客 户 或 系统 用 户 提供 测试 数据 并 且 确 保 测 
试 是 成 功 的 。 

e 开发 测试 包括 : 单元 测试 ， 会 对 各 个 对 象 和 方法 进行 测试 ; 构件 测试 ， 会 测试 相互 
关联 的 对 象 组 ; 系统 测试 ， 会 测试 一 部 分 或 整个 系统 。 

© 在 测试 软件 时 应 该 尽力 把 软件 “ 弄 坏 "， 这 需要 使 用 经 验 和 指南 来 仔细 选择 特定 类 型 
的 测试 用 例 ， 这 些 类 型 的 测试 用 例 在 其 他 系统 中 可 以 有 效 地 发 现 缺 陷 。 

e 只 要 有 可 能 都 应 当 尽 量 编写 自动 化 测试 。 测 试 朋 入 测试 程序 中 ， 可 以 在 每 次 对 一 个 
系统 进行 修改 时 运行 这 些 程序 。 

e 测试 先行 的 开发 是 一 种 开发 方法 ， 其 中 测试 在 要 测试 的 代码 开发 之 前 就 编写 好 了 。 
然后 可 以 对 代码 进行 少量 的 修改 并 对 代码 进行 重 构 ， 直 到 所 有 的 测试 都 成 功 运 行 。 

e 场景 测试 很 有 和 用， 因为 它 复制 了 系统 的 实际 使 用 方式 。 场 景 测试 包括 设计 一 个 典型 
的 使 用 场景 ， 然 后 使 用 该 场景 得 出 测试 用 例 。 

e 验收 测试 是 一 个 用 户 测试 过 程 ， 其 目的 是 确定 软件 是 否 足 够 好 以 至 于 可 以 进行 部 署 
并 在 原 计划 的 运行 环境 中 使 用 。 


阅读 推荐 

《 How to design practical test cases 》 是 一 篇 关于 如 何 设计 测试 用 例 的 文章 ， 作 者 来 自 
于 一 家 日 本 公司 ,该 公司 在 交付 高 质量 的 软件 方面 享有 良好 的 声誉 。( T. Yamaura, IEEE 
Software, 15 (6), November 1998 ) http://dx.doi.org/10.1109/52.730835 

《 Test-driven development 》 是 一 期 关于 测试 驱动 开发 的 专刊 ， 包 括 一 篇 对 测试 驱动 开 
发 的 很 好 的 宏观 概览 ， 以 及 一 些 关 于 测试 驱动 开发 如 何 被 用 于 不 同类 型 的 软件 的 经 验 文章 。 
(IEEE Software, 24 (3 ) May/June 2007 ) 

《 Exploratory Software Testing 》 是 一 本 关于 软件 测试 的 实践 性 而 非 理论 性 的 书籍 ， 对 
Whittaker 在 更 早 的 一 篇 著作 《 How to Break Software 》 中 的 思想 进行 了 进一步 的 拓展 。 作 
者 提供 了 一 组 基于 经 验 的 软件 测试 指南 。(J. A. Whittaker, 2009, Addison-Wesley ) 

《 How Google Tests Software 》 是 一 本 关于 如 何 测试 大 规模 基于 云 的 系统 的 书 ， 其 中 讨 
论 了 一 整套 与 定制 化 软件 应 用 相 比 的 新 挑战 。 虽 然 我 并 不 认为 Google 的 方法 可 以 直接 使 
用 ， 但 是 本 书 中 有 一 些 关 于 大 规模 系统 测试 的 有 趣 的 教训 。( J. Whittaker, J. Arbon, and J. 
Carollo, 2012, Addison-Wesley ) 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap8/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/implementation-and-evolution/ 


练习 


8.1 为 什么 对 于 一 个 程序 而 言 没 必要 在 交付 给 客户 之 前 保证 完全 没有 缺陷 ? 

8.2 ”为 什么 测试 只 能 表明 错误 的 存在 ， 而 不 是 显示 没有 错误 存在 ? 

8.3 ”一些 人 认为 开发 人 员 不 应 该 参与 测试 自己 的 代码 ， 所 有 的 测试 责任 都 应 该 由 一 个 独立 
的 团队 来 承担 。 给 出 关于 开发 人 员 目 己 测 试 的 支持 和 反对 两 方面 的 论点 。 


8.4 


8.5 
8.6 


8.7 
8.8 
8.9 
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你 被 安排 测试 “ Paragraph” AE — A catWhiteSpace 的 方法 ， 该 方法 在 一 个 段 
沙里 面 将 所 有 连续 的 空格 符 蔡 换 成 单个 的 空格 符 。 为 这 个 例子 确定 测试 划分 ， 并 且 为 
catWhiteSpace 方法 设计 一 组 测试 。 

什么 是 回归 测试 ? 解释 该 如 何 使 用 自动 化 测试 以 及 JUnit 这 样 的 测试 框架 来 简化 回归 测试 。 
Mentcare 系统 是 通过 对 成 品 信息 系统 进行 适 配 性 修改 得 到 的 。 测 试 这 样 一 个 系统 与 测 
试 使 用 Java 这 样 的 面 回 对 象 语言 开发 的 软件 有 什么 区 别 ? 

编写 一 个 可 以 用 于 为 野外 气象 站 系统 设计 测试 的 场景 。 

你 是 如 何 理解 术语 “压力 测试 ”的 ? 谈 一 谈 如 何 对 Mentcare 系统 进行 压力 测试 。 

在 测试 过 程 的 早期 阶段 让 用 户 参 加 发 布 测试 有 什么 好 处 ”这 种 用 户 参 与 有 什么 不 好 的 
地 方 吗 ? 


8.10 系统 测试 的 一 个 常用 方法 是 测试 系统 直到 测试 预算 耗 尽 ， 然 后 将 系统 交付 给 客户 。 针 
对 交付 给 外 部 客户 的 系统 ， 讨 论 这 种 方法 的 道德 问题 。 
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软件 演化 





目标 

本 章 的 目标 是 解释 为 什么 软件 演化 是 软件 工程 中 一 个 重要 组 成 部 分 ， 并 且 介绍 维护 大 型 
软件 系统 所 面临 的 挑战 。 阅 读 完 本 章 后 ， 你 将 : 

e 理解 软件 系统 如 果 要 保持 有 用 就 必须 不 断 适应 和 演化 ， 软 件 变更 和 演化 应 当成 为 软 

件 工程 的 一 个 有 机 部 分 ; 

e 理解 遗留 系统 的 含义 以 及 这 些 系统 为 什么 对 业务 很 重要 ; 

o 了 解 如 何 对 遗留 系统 进行 评估 ， 从 而 决定 是 应 该 抛弃 、 维 护 、 再 工程 还 是 更 换 这 些 

系统 ; 

e 学 习 不 同类 型 的 软件 维护 以 及 影响 维护 费用 的 因素 。 

大 型 软件 系统 通常 有 一 个 很 长 的 生命 周期 。 例 如 ， 大 型 的 军事 或 者 基础 设施 系统 ( 例 
如 航空 交通 管制 系统 ) 可 能 拥有 30 年 或 者 更 长 的 生命 周期 。 业 务 系 统 的 生命 周期 通常 也 会 
在 10 年 以上。 企业 软件 的 成 本 很 高 ， 所 以 一 个 公司 会 使 用 一 个 软件 系统 很 多 年 来 收回 前 期 
对 软件 产品 的 投资 。 因 此 ， 那 些 很 多 年 以 前 就 取得 成 功 的 软件 和 产品 ， 依 然 会 定期 发 布 新 版 
本 。 例 如 ,微软 Word 的 第 一 个 版 本 早 在 1983 年 就 问世 了 ， 并 且 在 此 后 的 30 年 间 不 断 进行 
着 更 新 。 

在 系统 开发 完成 后 ， 如 果 要 使 其 继续 有 用 ， 对 它 进 行 修改 是 不 可 避免 的 。 由 于 业务 变 
更 和 用 户 期 竺 的 改变 ,使 得 对 已 有 系统 的 新 需求 浮现 出 来 。 由 于 各 种 原因 ， 软 件 的 某 些 部 分 
需要 修改 例如， 修复 运行 中 发 现 的 错误 、 适 应 新 的 运行 平台 、 提 升 性 能 或 其 他 的 非 功 能 特 
性 。 所 有 这 些 都 意味 看 在 系统 交付 后 ， 软 件 系统 总 是 在 不 断 演化 以 满足 变更 的 需求 。 

企业 必须 不 断 改 进 他 们 的 软件 以 确保 他 们 能 够 持续 从 中 获得 价值 。 他 们 的 系统 已 经 成 
为 组 织 的 重要 经 营 资产 ， 必 须 投资 进行 系统 变更 以 保持 其 价值 。 通 常 ， 大 多 数 大 型 公司 在 维 
护 系统 上 的 开 文 要 比 在 系统 开发 上 的 开 文 多 很 多 。 历 史 统 计数 据 ( Lientz and Swanson 1980; 
Erlikh 2000 ) 表明 ，60% ~ 90% 的 软件 花费 是 演化 花费 。Jones (Jones 2006 ) 的 调查 结果 也 
显示 在 2006 FREK ITAP, AKA 75% 的 工作 都 与 软件 演化 有 关 ， 并 且 在 可 预见 的 
未 来 这 一 数字 没有 下 降 的 倾向 。 

对 于 一 些 大 规模 的 企业 系统 来 说 ， 软 件 演 化 的 代价 极其 昂贵 ， 因 为 一 个 相对 独立 的 系统 
往往 是 “由 系统 构建 的 (整体 ) 系统 ”中 的 一 部 分 。 在 这 种 情况 下 ， 进 行 变更 需要 考虑 的 不 
仅仅 是 系统 本 号 的 影响 ,还 有 对 全 局 的 (整体 ) 系统 中 其 他 部 分 的 影响 。 因 此 ， 对 某 个 系统 
进行 变更 通常 意味 着 还 需要 对 其 他 系统 也 进行 相应 的 修改 ， 以 适应 环境 的 变更 。 

因此 ,在 确认 和 分 析 变 更 对 系统 本 号 产生 影响 的 同时 ， 还 需要 评估 它 会 对 运行 环境 中 的 
其 他 系统 产生 怎样 的 影响 。Hopkins 和 Jenkins ( Hopkins and Jenkins 2008 ) 发 明了 一 个 术语 
棕 地 软件 开发 ( brownfield software development) 来 描述 这 种 情况 ， 即 软件 系统 在 其 开发 和 
管理 所 处 的 环境 中 依赖 于 其 他 许多 软件 系统 。 
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已 安装 的 系统 ， 随 着 业务 和 它 的 环境 的 改变 ， 其 需求 也 随 之 改变 。 因 此 ， 系 统 通常 会 定 
期 发 布 新 版 本 以 实现 改变 和 更 新 。 因 此 ， 
软件 工程 是 一 个 贯穿 系统 生命 周期 的 ， 由 
需求 、 设 计 、 实 现 、 测 试 组 成 的 螺旋 过 程 
( 见 图 9-1): 开始 于 系统 的 第 1 个 发 布 版 本 
的 创建 ; 一 旦 交付 使 用 ， 变 更 提出 ， 则 第 
2 个 发 布 版 本 的 开发 立刻 开始 。 事 实 上 ， 
甚至 于 在 系统 部 萌 之 前 ， 演 化 的 需求 可 能 
已 经 变 得 很 明显 ， 以 至 于 在 目前 的 版 本 发 
布 之 前 ， 软 件 的 后 继 版 本 就 已 在 开发 中 了 。 

最 近 10 年， 软件 螺旋 式 迭 代 的 周期 
正 变 得 越 来 越 短 。 在 互联 网 普及 之 前 ， 软 图 9-1 开发 和 演化 的 螺旋 模型 
件 新 版 本 发 布 的 周期 大 约 是 2 一 3 年 。 而 
如 今 面 对 激烈 的 竞争 和 及 时 的 用 户 反 馈 ， 很 多 软件 与 Web 应 用 的 更 新 周期 甚至 可 以 短 至 
数 周 。 

这 个 软件 演化 模型 是 针对 一 个 专门 组 织 既 负责 最 初 的 软件 开发 又 负责 以 后 的 软件 演化 这 
种 情况 的 。 当 软件 开发 完成 后 ， 团 队 需 要 将 工作 无 缝 衔接 到 软件 演化 上 ， 并 且 开 发 过 程 中 使 
用 的 过 程 和 方法 会 始终 贯穿 于 软件 的 整个 生命 周期 当中 。 大 部 分 打包 的 软件 产品 是 按 这 种 方 
式 开发 的 。 

对 于 定制 化 软件 ， 通 常 使 用 另 一 种 不 同 的 方法 。 一 个 软件 公司 为 客户 开发 软件 ， 然 后 由 
客户 自己 的 开发 团队 接管 这 个 系统 ， 即 由 他 们 负责 软件 演化 。 还 有 另 一 种 选择 是 ， 软 件 用 户 
和 另外 一 家 公司 签订 一 个 单独 的 合同 ， 要 求 其 负责 系统 的 文 持 和 演化 。 

在 这 种 情况 下 ， 螺旋 进程 经 常 是 不 连续 的 。 需 求 和 设计 文档 不 能 从 一 个 公司 传递 到 为 一 
个 公司 。 公 司 可 能 通过 合并 或 重组 继承 来 自 其 他 公司 的 软件 ， 于 是 发 现 需 求 和 设计 文档 都 必 
须 进 行 变 更 。 当 从 开发 到 演化 的 转换 不 是 无 颖 衔接 时 ， 软 件 移交 之 后 的 变更 过 程 被 称 为 “ 软 
件 维护 ”。 正 如 在 本 章 的 后 面 将 会 谈 到 的 ， 维 护 包 括 额外 的 过 程 活动 ， 例 如 ， 除 正 稼 的 软件 
开发 活动 外 的 程序 理解 。 

Rajlich 和 Bennett ( Rajlich and Bennett 2000 ) 提出 一 个 软件 演化 生命 周期 的 另 一 种 视 
图 ， 如 图 9-2 所 示 。 在 这 个 模型 中 ， 他 们 把 演化 和 维修 区 别 开 来 。 演 化 阶段 涉及 软件 体系 结 
构 和 功能 性 的 重大 改变 ; 而 维修 阶段 所 做 的 都 是 一 些 相 对 较 小 但 必 不 可 少 的 修改 。 





emo oe a 





时 间 
图 9-2 演化 和 维修 


根据 Rajlich 和 Bennett 提出 的 模型 ， 当 软件 初步 被 成 功 使 用 时 ， 许 多 关于 需求 变化 的 
提议 会 被 采纳 和 实现 。 这 是 演化 阶段 。 但 是 ， 随 着 软件 被 更 改 ， 它 的 结构 也 在 退化 ， 更 改 的 . 
成 本 也 变 得 越 来 越 大 。 这 种 情况 通常 发 生 在 使 用 数 年 之 后 ,其间 也 有 其 他 环境 的 改变 ， 例 如 
硬件 或 者 操作 系统 。 在 生命 周期 的 某 些 阶段 软件 会 到 达 一 个 转折 点 ， 在 此 之 后 软件 进行 重大 
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,的 改变 以 及 实现 新 需求 都 会 变 得 越 来 越 不 划算 。 这 时 ， 软 件 从 演化 阶段 转 为 维修 阶段 。 

在 维修 阶段 ， 软 件 仍然 是 可 用 的 并 且 一 直 在 使 用 着 ， 只 有 一 些小 的 局 部 的 调整 需要 做 。 
在 这 个 阶段 ， 公 司 经 常会 考虑 怎样 将 软件 更 换 掉 。 在 最 后 阶段 ， 软 件 仍然 在 使 用 ， 但 是 只 有 
少量 必需 的 变更 会 被 执行 ， 因 而 用 户 需要 想 办 法 去 绕 过 发 现 的 某 些 问题 。 最 终 ， 软 件 退 役 并 
完全 退出 使 用 。 这 通常 会 包含 将 旧 系 统 的 数据 迁移 到 新 的 替代 系统 上 ， 其 中 会 包含 一 些 额外 
的 成 本 。 


9.1 演化 过 程 


和 其 他 很 多 软件 过 程 一 样 ， 软 件 变更 与 软件 演化 并 不 存在 绝对 的 标准 。 软 件 演化 过 程 在 
相当 程度 上 依赖 于 所 维护 的 软件 的 不 同类 型 和 参与 开发 过 程 的 组 织 和 人 。 对 于 有 些 类 型 的 系 
统 ， 例 如 移动 应 用 ， 演 化 可 能 是 一 种 非 正式 的 过 程 ， 变 更 请 求 大 部 分 来 自 于 系统 用 户 和 开发 
者 的 交流 。 而 对 于 其 他 类 型 的 系统 ， 例 如 嵌入 式 关键 性 系统 ， 这 却 是 一 个 在 每 个 阶段 都 产生 
结构 化 文档 的 正式 过 程 。 

在 所 有 的 组 织 中 ， 正 式 或 非 正式 的 系统 变更 建议 都 是 系统 演化 的 动力 。 在 变更 建议 中 ， 
个 人 或 团队 会 对 现 有 系统 的 改进 或 更 新 提出 自己 
的 建议 。 这 些 变 更 建议 可 能 包括 在 发 布 的 版 本 中 
还 没有 实现 的 已 有 需求 、 新 的 需求 请 求 、 系 统 所 i 
有 者 的 补丁 要 求 和 来 自 系统 开发 团队 的 改进 软件 
的 新 想法 和 建议 。 变 更 识别 的 过 程 和 系统 演化 是 
循环 和 持续 的 ， 并 且 贯 穿 于 系统 的 生命 周期 ( 见 
图 9-3 )。 

在 接受 变更 建议 之 前 ， 需 要 对 软件 进行 分 
析 ， 以 确定 哪些 构件 需要 更 改 。 该 分 析 人 允许 评估 
变更 的 成 本 和 影响 。 这 是 变更 管理 的 一 般 过 得 
的 一 部 分 ， 它 还 应 确保 每 个 系统 版 本 中 都 包含 正确 版 本 的 构件 。 第 25 章 将 讨论 变更 和 配置 
管理 。 

图 9-4 摘自 Arthur ( 1988 )， 展 示 了 演化 过 程 的 概况 。 演 化 过 程 包括 变更 分 析 的 基础 活 
动 、 版 本 规划 、 系 统 实现 和 对 客户 发 布 。 通 过 评估 这 些 变更 的 花费 与 影响 ， 来 发 现 系统 在 多 
大 程度 上 受到 影响 以 及 实现 变更 可 能 花费 多 少 。 







a) 


软件 演化 过 程 


图 9-3 ”变更 识别 和 演化 过 程 





图 9-4 软件 演化 过 程 模型 的 通用 模型 


如 果 所 提议 的 变更 被 接受 ， 则 会 规划 一 个 新 的 系统 发 布 版 本 。 在 发 布 规划 期 间 ， 考 虑 所 
有 提出 的 变更 建议 (故障 修复 、 适 应 和 新 功能 )， 然 后 决定 在 系统 的 下 一 个 版 本 中 实现 哪些 
变更 。 接 下 来 实现 并 确认 变更 ， 并 发 布 一 个 新 的 系统 版 本 。 这 之 后 ， 该 过 程 会 进入 下 一 个 迭 
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代 ， 考虑 针对 下 一 个 发 布 所 提出 的 一 组 新 的 变更 。 

在 有 些 情况 下 开发 和 演化 被 集成 到 了 一 起 ， 此 时 变更 实现 只 是 开发 过 程 的 一 个 迭代 。 针 
对 系统 的 各 种 修改 进行 设计 、 实 现 和 测试 。 初 始 开发 和 演化 之 间 唯 一 的 区 别 是 ， 交 付 后 的 客 
户 反馈 在 规划 一 个 应 用 的 新 发 布 版 本 时 必须 进行 考虑 。 

而 当 开 发 和 变更 过 程 是 由 不 同 的 团队 各 自负 责 时 ,最 重要 的 不 同 点 在 于 ,负责 变 更 工作 
的 团队 首先 要 理解 源 代码 的 实现 方式 。 在 这 个 阶段 ,要 了 人 解 程序 是 怎样 构造 和 怎样 实现 它 的 
功能 的 。 在 实现 一 个 变更 时 ， 我们 要 利用 以 上 的 理解 来 确保 实现 的 变更 不 会 对 现 有 系统 产生 
不 利 影响 。 

如 果 和 需求 规格 说 明和 设计 文档 是 存在 的 ， 那 么 在 实现 变更 后 ， 应 该 对 其 进行 修改 以 反映 
系统 的 变化 情况 ( 见 图 9-5 )。 新 的 软件 需求 也 应 该 被 记录 下 来 ， 用 于 分 析 和 确认 。 如 果 设 计 
文档 中 还 包含 UML 模型 ， 那 么 也 应 该 对 其 进行 相应 的 修改 。 这 些 工作 或 许 应 该 在 需求 变更 
的 分 析 阶 段 进行 ， 这 样 就 能 有 效 地 评估 变更 的 花费 和 影响 。 


提出 的 需求 分 析 


变更 








图 9-5 ”变更 实现 


变更 请 求 有 时 关系 到 需要 立刻 解决 的 一 些 系统 问题 。 以 下 这 些 原因 可 能 会 叶 致 出 现 紧急 
的 变更 。 

1. 一 个 严重 的 系统 缺陷 被 发 现 ， 必 须 修复 该 缺陷 以 使 常规 的 系统 运行 可 以 继续 或 者 解决 
一 个 严重 的 信息 安全 漏洞 。 

2. 如 采 系 统 操作 环境 的 变更 中 有 不 期 望 的 情况 发 生 ， 那 么 就 会 破坏 正常 的 操作 。 

3. 如 果 系 统 上 运行 的 业务 有 未 预料 到 的 改变 发 生 ， 例 如 ， 有 新 的 竞争 对 手 出 现 或 者 有 新 
的 法 律 生效 并 影响 到 了 系统 。 

在 这 些 情况 下 ， 就 需要 做 出 快速 的 变更 ， 也 意味 着 不 能 遵循 正常 的 变更 分 析 过 程 一 一 
不 是 按 正 常 的 过 程 去 修改 需求 和 设计 ， 而 是 要 对 程序 进行 紧急 的 修补 来 解决 突 发 问题 ( 见 
图 9-6 )。 这 样 做 的 危险 是 使 需求 、 软 件 设 计 和 代码 逐渐 变 得 不 一 致 。 尽 管 你 打算 记录 需求 
和 设计 方面 的 变更 ， 却 可 能 又 有 一 个 急需 的 修补 在 等 你 完成 。 它 的 优先 权 高 于 文档 记录 。 最 
后 ， 最 初 的 变更 被 遗忘 了 ， 系 统 文档 与 代码 再 也 不 能 一 致 了 。 这 其 中 存在 的 一 个 问题 就 是 ， 
维护 大 量 的 文档 与 敏捷 方法 中 尽 可 能 减少 文档 数量 的 基本 目标 相 冲 突 。 


分 析 源 代码 Y 修改 源 代码 $ 
图 9-6 紧急 修复 过 程 


崇 急 系统 修补 通常 需要 尽 可 能 快 地 完成 。 应 当选 择 一 种 快速 的 可 行 方案 ， 而 不 是 选择 一 
个 能 保证 系统 结构 最 好 的 方案 。 这 就 加 速 了 软件 的 老化 过 程 ， 并 使 未 来 的 变更 计划 更 困难 ， 
维护 费用 上 升 。 在 理想 的 情况 下 ,在 紧急 修补 完成 后 ， 最 好 应 该 再 对 代码 进行 重 构 ， 以 提高 
代码 质量 和 避免 软件 老化 。 当 然 ， 修 补 代码 可 能 再 次 得 到 利用 。 如 果 我 们 有 更 多 的 分 析 时 间 
的 话 ， 就 有 可 能 找到 此 问题 的 另 一 个 更 好 的 解决 方案 。 
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， ”敏捷 方法 和 过 程 (在 第 3 章 中 讨论 过 ) 也 许 会 在 程序 演化 和 程序 开发 中 用 到 。 实 际 上 ， 
因为 这 些 方法 是 基于 增 量 开 发 的 ， 人 敏捷 开发 向 交付 后 演化 的 转变 应 当 是 无 颖 衔接 的 。 

然而 ， 当 一 个 开发 团队 向 另外 一 个 负责 演化 的 团队 交接 时 ， 有 以 下 两 种 问题 则 可 能 
出 现 。 

1. 开发 团队 运用 了 敏捷 方法 ， 但 是 演化 团队 却 不 熟悉 敏捷 方法 而 选择 了 一 个 计划 驱动 的 
方法 。 演 化 团队 可 能 期 望 详细 的 文档 来 支持 演化 工作 的 进行 ， 而 这 恰恰 是 敏捷 方法 所 不 能 提 
供 的 。 可 能 没有 关于 系统 的 一 个 明确 的 描述 以 供 变更 时 使 用 。 

2. 计划 驱动 的 方法 被 用 于 开发 过 程 ， 而 演化 团队 选择 使 用 敏捷 方法 。 这 种 情况 下 ， 演 
化 团队 可 能 不 得 不 从 头 开 发 自动 化 的 测试 ， 而 且 不 会 有 像 敏 捷 开 发 过 程 中 所 期 待 的 系统 代码 
重 构 和 简化 。 这 样 ， 在 采用 敏捷 开发 过 程 之 前 ， 可 能 要 求 使 用 一 些 再 工程 方法 来 提升 其 代码 
质量 。 

诸如 测试 驱动 开发 和 自动 回归 测试 这 样 的 敏捷 方法 可 以 在 系统 变更 时 使 用 。 很 多 系统 变 
更 会 以 用 户 故 事 的 方式 被 提出 ， 这 些 用 户 的 参与 可 以 为 确定 系统 变更 的 优先 级 顺序 提供 极 大 
的 帮助 。Scrum 方法 中 关注 待 处 理工 作 的 特性 也 能 帮助 确定 最 重要 的 系统 变更 。 总 之 ， 软 件 
演化 过 程 仍 然 需 要 一 些 敏 捷 开 发 方法 。 

然而 ， 当 用 于 程序 维护 和 演化 时 ， 在 开发 中 所 使 用 的 敏捷 方法 必须 进行 一 些 修改 。 在 
实践 中 让 用 户 参 与 开发 团队 是 不 太 可 能 的 ， 因 为 变更 提议 来 自 范围 很 广 的 利益 相关 者 。 短 开 
发 周期 可 能 不 得 不 被 打 断 来 处 理 紧急 修复 ， 发 布 之 间 的 差距 可 能 不 得 不 拉 大 以 避免 干扰 运行 
过 程 。 


9.2 遗留 系统 


大 型 企业 一 般 在 20 世纪 60 年 代 开 始 将 他 们 的 运营 计算 机 化 ， 因 此 在 过 去 的 大 约 50 年 
中 ， 越 来 越 多 的 软件 系统 被 引入 到 这 些 企业 中 。 这 些 系 统 中 许多 都 已 经 随 着 业务 的 变更 和 演 
化 被 蔡 换 掉 了 《〈 有 时 候 会 多 次 替换 )。 然 而 ， 很 多 旧 系 统 仍然 还 在 使 用 并 且 在 业务 的 运行 中 
扮演 着 重要 的 角色 。 这 些 旧 软件 系统 有 时 候 被 称 为 遗留 系统 。 

遗留 系统 是 比较 老 的 系统 ， 它 们 依赖 于 一 些 在 新 系统 开发 中 不 再 使 用 的 语言 和 技术 。 典 
型 情况 下 ， 它 们 已 经 被 维护 了 很 长 一 段 时 间 ， 它们 的 结构 可 能 已 经 由 于 所 做 的 修改 而 发 生 了 
退化 。 遗 留 软件 可 能 依赖 于 更 老 的 硬件 ， 例 如 主机 计算 机 ， 而且 可 能 与 遗留 过 程 和 规程 相关 
联 。 这 些 软件 可 能 无 法 通过 变更 来 适应 更 加 有 效 的 业务 过 程 ， 因 为 遗留 软件 无 法 被 修改 来 文 
持 新 的 过 程 。 

遗留 系统 不 仅仅 是 软件 系统 ， 还 是 更 广阔 的 社会 技术 系统 ， 其 中 包 插 硬件、 软件 、 各 种 
库 ， 以 及 其 他 支持 性 的 软件 和 业务 过 程 。 图 9-7 描述 了 一 个 遗留 系统 的 逻辑 成 分 以 及 它们 的 
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1. 系统 硬件 。 遗 留 系 统 当 初 开 发 的 时 候 可 能 是 针对 一 些 老 的 硬件 编写 的 ， 这 些 硬 件 现 在 
已 经 不 再 可 用 、 维 护 很 昂贵 ， 并 且 可 能 与 当前 的 组 织 信息 技术 采购 政策 不 相符 。 

2. 支持 软件 。 遗 留 系统 可 能 依赖 于 一 系列 支持 软件 ， 从 操作 系统 以 及 硬件 厂商 提供 的 
些 工 具 到 用 于 系统 开发 的 编译 顺 。 这 些 软件 也 可 能 过 时 了 了 ， 它们 原来 的 提供 者 可 能 不 再 提供 
支持 了 。 

3. 应 用 软件 。 提供 业务 服务 的 应 用 系统 通 营 由 一 些 应 应 用 程序 组 成 ， 这 些 应 用 程序 是 在 不 
同 的 时 间 开 发 的 。 其 中 一 些 程序 将 会 同时 成 为 其 他 应 用 软件 系统 的 一 部 分 。 

4. 应 用 数据 。 这 些 数 据 是 应 用 系统 处 理 的 。 许 多 遗留 系统 都 在 漫长 的 系统 生命 周期 中 积 
累 了 大 量 的 数据 。 这 些 数据 可 能 会 不 一 致 ， 可 能 在 多 个 文件 中 重复 出 现 ， 还 可 能 分 散在 一 些 
不 同 的 数据 库 中 。 

5. 业务 过 程 。 这 些 过 程 在 业务 中 使 用 以 实现 一 些 业务 目 标 。 一 个 业务 过 程 的 例子 包括 
一 个 保险 公司 发 布 一 个 保险 政策 ; 一 家 制造 业 企 业 的 业务 过 程 会 包括 如 何 接受 产品 订单 并 且 
安排 相关 的 制造 过 程 。 业 务 过 程 可 能 会 围绕 一 个 遗留 系统 设计 并 且 受 该 系统 提供 的 功能 的 
制约 。 

6. 业务 政策 和 规则 。 这 些 政策 和 规则 包括 关于 业务 应 当 如 何 开 展 的 定义 以 及 对 于 业务 的 
约束 。 遗 留 应 用 系统 的 使 用 可 能 会 蕴含 在 这 些 政策 和 规则 中 。 

另 一 种 看 待 这 些 遗 留 系统 组 成 成 分 的 方式 是 分 一 系列 的 社会 技术 系统 
层 ， 如 图 9-8 Bra. 

每 一 层 都 依赖 于 紧 挨 着 的 下 一 层 并 且 与 该 层 有 接口 。 如 果 
能 够 保持 接口 不 变 ， 那么 应 该 可 以 在 一 层 之 内 进行 修改 而 不 会 
影响 相 邻 的 层 。 然 而 ， 在 实践 中 这 种 封装 过 于 简单 化 ， 对 于 系 
统 中 某 一 层 的 修改 可 能 会 要 求 对 所 改变 的 那 一 层 的 上 一 层 和 下 
一 层 都 进行 修改 。 其 中 的 原因 包括 以 下 3 个 方面 。 图 9-8 遗留 系统 分 层 

1. 修改 系统 中 的 某 一 层 可 能 会 引入 新 的 工具 ， 系 统 中 更 高 
的 层 可 能 会 进行 修改 以 利用 这 些 新 的 工具 。 例 如 ， 在 软件 层 引 入 一 个 新 的 数据 库 可 能 会 包括 
通过 Web 浏览 器 访问 数据 的 工具 ， 因 此 业务 过 程 可 能 会 进行 修改 以 利用 这 一 工具 。 

2. 修改 软件 可 能 会 使 系统 变 慢 ， 从 而 需要 新 的 硬件 来 改进 系统 性 能 。 来 自 新 硬件 的 性 能 
提升 接 下 来 又 意味 着 原来 不 现实 的 对 软件 进一步 的 修改 成 为 可 能 。 

3. 维护 硬件 接口 经 常 是 不 可 能 的 ， 特 别 是 当 新 的 硬件 引信 后 ， 这 在 符 入 式 系统 中 尤其 环 
手 ， 在 这 类 系统 中 软件 和 硬件 之 间 存 在 着 紧密 的 耦合 。 为 了 有 效 利 用 新 的 硬件 ， 应 用 软件 需 
要 进行 大 幅度 的 修改 。 

想 确切 知道 有 多 少 遗 留 代码 仍然 在 使 用 是 很 难 的 ， 但 是 作为 一 个 大 致 的 指示 器 ， 工 业界 
估计 当前 的 业务 系统 中 存在 超过 2 000 亿 行 COBOL 代码 。COBOL 是 一 种 被 设计 用 于 编写 
业务 系统 的 编程 语言 ， 在 20 世纪 60 年 代 到 20 世纪 90 年 代 之 间 都 是 主要 的 业务 开发 语言 ， 
特别 是 在 财务 领域 ( Mitchell 2012 )。 这 些 程序 仍然 在 有 效 和 高 效 地 工作 ， 使 用 这 些 程序 的 
企业 觉得 没有 必要 修改 它们 。 然 而 ， 他 们 面临 的 一 个 主要 问题 是 随 着 原来 的 系统 开发 者 退 
休 ， 越 来 越 难 找到 COBOL 程序 员 。 大 学 不 再 教授 COBOL ， 更 年 轻 的 软件 工程 师 对 使 用 现 
代 的 语言 编程 更 感 兴趣 。 

技能 的 缺乏 仅仅 是 维护 业务 遗留 系统 的 众多 问题 中 的 一 个 。 其 他 问题 还 包括 : 信息 安全 
漏 润 ， 因 为 这 些 系 统 是 在 互联 网 广泛 使 用 之 前 开发 的 ; 与 用 现代 编程 语言 编写 的 系统 进行 接 
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日 交互 时 所 面临 的 问题 。 最 初 的 软件 工具 供应 商 可 能 已 经 退出 相关 业务 ， 或 者 不 再 维护 当初 
用 于 开发 系统 的 支持 工具 。 系 统 硬 件 可 能 会 过 时 并 且 维 护 越 来 越 贵 。 

”那么 为 什么 企业 没有 简单 地 用 更 加 现代 化 的 同类 系统 替换 这 些 系统 呢 7 对 于 这 个 问 
题 的 一 个 简单 的 回答 是 这 样 做 太 贵 并 且 风 险 太 大 。 如 果 一 个 遗留 系统 还 能 够 有 效 工 作 ， 那 
么 更 换 系统 的 成 本 可 能 会 超过 来 自 新 系统 支持 成 本 降低 所 节省 的 费用 。 将 遗留 系统 废弃 掉 
并 用 更 加 现代 的 软件 来 替换 它们 ， 很 可 能 会 使 事情 走 上 歧途 ， 或 者 出 现 新 系统 无 法 满足 业 
务 需 要 的 情况 。 管 理 层 试图 将 这 种 风险 最 小 化 ， 因 此 不 想 面 对 新 软件 系统 所 带 来 的 不 确 
定性 。 

当 我 参加 一 个 大 型 组 织 的 遗留 系统 替换 项 目 时 ， 我 发 现 了 遗留 系统 替换 的 一 些 问 题 。 这 
家 企业 使 用 了 超过 150 个 遗留 系统 来 支撑 其 业务 。 该 企业 决定 将 所 有 这 些 系统 替换 成 一 个 
集中 维护 的 ERP 系统 。 由 于 一 系列 业务 和 技术 原因 ， 新 系统 开发 失败 了 ， 它 没有 提供 所 承 
诺 的 改进 。 在 花费 了 1000 万 英镑 后 ， 新 系统 中 只 有 一 小 部 分 可 以 运行 ， 其 运转 比 所 替换 的 
老 系 统 更 加 低 效 。 用 户 继续 使 用 老 系统 ， 但 是 却 无 法 将 这 些 与 所 实现 的 新 系统 的 部 分 集成 起 
来 ， 因 此 还 需要 额外 的 人 工 处 理 。 

以 下 是 关于 用 新 系统 替换 遗留 系统 为 什么 那么 昂贵 以 及 风险 高 的 几 点 原因 。 

1. 遗留 系统 很 少 有 一 个 完备 的 规格 说 明 。 最 初 的 规格 说 明 可 能 已 经 遗失 。 如 果 存 在 一 个 
规格 说 明 ， 那 么 也 很 有 可 能 并 没有 及 时 更 新 以 反映 在 该 系统 上 实施 的 所 有 修改 。 因 此 ， 没 有 
什么 直观 的 办 法 可 以 让 我 们 去 刻画 一 个 与 正在 使 用 的 系统 功能 上 等 价 的 新 系统 。 

2. 业务 过 程 以 及 遗留 系统 的 运行 方式 经 常 不 可 避免 地 交织 在 一 起 。 这 些 过 程 很 可 能 已 经 
演化 得 可 以 利用 软件 的 服务 ， 同 时 对 软件 的 缺点 进行 了 变通 。 如 果 系 统 被 蔡 换 掉 ， 那 么 这 些 
过 程 也 必须 变化 ， 这 其 中 包含 不 可 预测 的 成 本 以 及 后 果 。 

3. 重要 的 业务 规则 可 能 会 蕴含 在 软件 中 ， 并 且 可 能 并 没有 进行 专门 的 文档 描述 。 一 条 业 
务 规则 是 一 个 适用 于 一 些 业 务 功能 的 约束 ,违反 约束 可 能 会 对 业务 造成 无 法 预计 的 后 果 。 例 
如 ,一 个 保险 公司 可 能 会 将 他 们 评估 一 个 政策 应 用 风险 的 规则 蕴含 在 其 软件 中 。 如 果 这 些 规 
则 没有 得 到 保持 ， 那 么 这 家 公司 可 能 会 接受 未 来 导致 昂贵 索 赔 的 高 风险 政策 。 

4. 新 的 软件 开发 从 内 在 来 讲 也 是 充满 风险 的 ， 因 此 新 系统 中 可 能 会 存在 无 法 预见 的 问 
题 。 新 系统 可 能 会 无 法 按时 以 及 按照 预计 的 价格 交付 。 

继续 保持 使 用 遗留 系统 可 以 避免 系统 替换 的 风险 ， 但 是 随 着 系统 逐渐 老化 ， 在 已 有 的 软 
件 中 进行 修改 可 能 会 变 得 越 来 越 昂贵 。 对 使 用 多 年 的 遗留 软件 系统 的 修改 尤其 困难 ， 这 主要 
是 由 于 以 下 这 些 原因 。 

1. 程序 风格 和 使 用 习惯 不 一 致 ， 因 为 系统 的 修改 是 由 不 同 的 人 负责 的 ， 这 加 剧 了 理解 系 
统 代码 的 困难 。 

2. 系统 的 一 部 分 或 全 部 可 能 是 用 过 时 的 编程 语言 实现 的 。 找 到 懂 这 些 语言 的 人 可 能 会 很 
难 。 因 此 ， 可 能 需要 花费 昂贵 的 代价 寻找 系统 维护 外 包 。 

3. 系统 文档 化 经 常 不 充分 而 且 过 时 。 有 时 候 ， 系 统 唯一 可 用 的 文档 就 是 系统 源 代 码 。 

4. 多 年 的 维护 通常 会 使 系统 结构 退化 ， 使 理解 系统 越 来 越 难 。 新 的 程序 可 能 是 通过 临时 
的 方式 添加 进去 并 与 其 他 部 分 交互 的 。 

5. 系统 可 能 针对 空间 利用 或 执行 速度 进行 了 优化 ， 从 而 使 系统 在 更 老 且 更 慢 的 硬件 上 外 
够 有 效 运 行 。 这 通常 都 会 使 用 特定 的 机 器 和 语言 进行 优化 ， 这 些 优化 通常 都 会 导致 软件 难以 
理解 。 这 对 于 学 习 现 代 软 件 工 程 技 术 且 不 懂 在 程序 中 使 用 的 那些 编程 技巧 的 程序 员 而 言 是 个 
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问题 。 

6. 系统 所 处 理 的 数据 可 能 会 保存 在 多 个 结构 不 匹配 的 文件 里 。 其 中 可 能 存在 数据 重复 ， 
数据 本 号 可 能 会 过 时 、 不 准确 、 不 完整 。 可 能 会 使 用 多 个 来 自 不 同 供应 商 的 数据 库 。 

到 了 某 一 阶段 ， 管 理 和 维护 遗留 系统 的 成 本 变 得 如 此 之 高 ， 以 至 于 不 得 不 将 现 有 系统 蔡 
换 为 一 个 新 系统 。 在 下 一 节 中 ， 将 讨论 一 个 做 出 这 类 替换 决策 的 系统 性 的 决策 方法 。 


9.2.1 遗留 系统 管理 


对 于 使 用 现代 软件 工程 过 程 ( 例 如， 敏捷 开发 和 软件 产品 线 ) 来 开发 的 新 软件 系统 而 
言 ， 规 划 如 何 将 系统 开发 和 演化 集成 到 在 一 起 是 可 能 的 。 越 来 越 多 的 公司 开始 认识 到 系统 开 
发 过 程 是 一 个 全 生命 周期 的 过 程 ， 人 为 地 将 软件 开发 和 软件 维护 分 开 并 不 好 。 但 是 ， 仍 然 存 
在 许多 遗留 系统 ， 它 们 是 十 分 重要 的 业务 系统 。 我 们 必须 扩展 和 调整 它们 以 适应 变化 中 的 电 
子 商务 环境 。 

大 多 数组 织 拥 有 很 多 遗留 系统 ， 对 这 些 遗 留 系统 的 维护 和 更 新 的 资金 又 非常 有 限 ， 这 时 
候 就 需要 对 投资 做 精心 的 安排 ， 以 期 获得 最 佳 的 回报 。 这 就 要 求 组 织 先 对 遗留 系统 进行 现实 
的 评估 ， 然 后 做 出 适当 的 决策 ， 有 以 下 4 种 基本 选择 。 

1. 彻底 废弃 这 个 系统 。 当 系统 不 能 对 业务 过 程 产生 有 效 的 作用 时 ， 应 该 选择 这 个 方 
案 。 这 种 情况 一 般 发 生 在 系统 安装 之 后 ， 业务 过 程 已 经 改变 ， 新 的 业务 过 程 不 再 依赖 于 遗留 
系统 。 

2. 不 再 大 幅 修 改 系 统 仅 保持 常规 维护 。 当 一 个 系统 仍然 有 存在 的 必要 ， 系 统 运行 相当 平 
稳 ， 而 且 用 户 没 有 提出 太 多 对 系统 变更 的 要 求 时 ， 应 该 选择 这 个 方案 。 

3, 对 系统 进行 再 工程 以 改善 其 可 维护 性 。 当 系统 质量 由 于 经 常 性 的 变更 已 经 下 降 ， 而 且 
仍然 需要 做 经 常 性 的 变更 时 ， 应 该 选择 这 个 方案 。 这 个 过 程 应 当 包 括 开发 新 的 构件 接口 ， 从 
而 使 最 初 的 系统 能 和 其 他 的 新 系统 协同 工作 。 

4. 用 一 个 新 的 系统 代替 整个 或 部 分 系统 。 当 其 他 因素 (例如 ， 新 的 硬件 已 经 使 日系 统 无 
法 继续 运行 ， 或 者 有 现成 的 产品 可 以 使 用 ) 使 新 系统 的 开发 成 本 非常 合理 时 ， 就 应 做 出 此 种 
选择 。 在 很 多 情况 下 ， 可 以 采用 演化 替换 策略 ， 用 现 有 的 系统 替换 主要 的 系统 构件 ， 并 且 在 
可 能 的 情况 下 继续 使 用 其 他 构件 。 

在 评估 一 个 遗留 系统 的 时 候 ， 必 
须 同时 从 业务 和 技术 两 个 视角 来 看 待 它 高 业务 价值 






(Warren 1998 )。 从 业务 的 视角 看 ， 必 须 对 (ni ie 
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角 看 ， 必 须 对 应 用 软件 、 系 统 支 持 软件 和 

硬件 质量 做 出 评估 。 根 据 这 两 个 方面 得 到 过 | 
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何 种 策略 了 。 
例如 ， 假 设 某 组 织 有 10 个 遗留 系统 。 
首先 评估 每 个 系统 的 质量 和 业务 价值 ， 然 


后 画 在 一 张 图 中 ， 比 较 系 统 在 这 两 方面 的 ts 
相对 水 平 ， 如 图 9-9 所 示 。 从 图 中 可 以 看 系统 质量 


出 有 以 下 4 类 系统 。 图 9-9 一 个 遗留 系统 评估 的 例子 


r 
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1. 低 质 量 、 低 业务 价值 系统 。 保 持 这 些 系统 继续 运转 的 费用 很 高 、 回 报 率 很 低 。 这 类 系 
统 是 抛弃 的 候选 对 象 。 

2. 低 质 量 、 高 业务 价值 系统 。 这 些 系统 正在 为 业务 做 出 重要 贡献 ， 不 能 抛弃 。 不 过 ,其 
低 质 量 意 味 着 运行 的 成 本 很 高 ， 所 以 这 类 系统 有 待 于 转换 或 者 以 合适 的 系统 替代 。 

3. 高 质量 、 低 业务 价值 系统 。 这 些 系统 对 业务 的 贡献 很 小 ， 但 是 维护 费用 较 低 。 不 值得 
冒险 去 替换 这 种 系统 ， 可 以 继续 进行 一 般 的 系统 维护 ， 也 可 以 抛弃 。 

4. 高 质量 、 高 业务 价值 系统 。 这 种 系统 必须 保持 运转 ， 其 高 质量 说 明 无 须 对 其 投资 进行 
转换 或 更 换 。 正 常 的 系统 维护 应 该 继续 进行 。 

为 了 评估 一 个 系统 的 业务 价值 ， 我 们 必须 假设 是 系统 的 所 有 者 ， 比 如 最 终 用 户 和 他 们 的 
经 理 ， 对 系统 提出 以 下 4 个 方面 的 问题 。 

1. 系统 的 使 用 。 如 果 系 统 只 是 偶尔 被 使 用 或 被 很 少 一 部 分 人 使 用 ， 那么 它们 含有 较 低 的 
业务 价值 。 遗 留 系统 可 能 是 为 满足 某 些 业务 需要 而 开发 的 ， 但 现在 业务 改变 了 ， 或 者 有 其 他 
更 有 效 的 方法 满足 要 求 。 然 而 ， 一 定 要 注意 不 经 常 使 用 但 却 重 要 的 系统 。 例 如 ， 在 大 学 里 ， 
一 个 学 生 的 注册 系统 可 能 仅 是 在 每 学 年 的 开始 时 才 使 用 。 但 是 ， 它 却 是 具有 高 业务 价值 的 必 
不 可 少 的 系统 。 

2. 支持 的 业务 流程 。 当 引入 一 个 系统 时 ， 我 们 就 要 设计 业务 流程 来 开发 系统 的 能 力 。 如 
果 遗 留 系 统 难以 改变 ， 那 么 改变 这 些 业务 流程 就 是 不 可 能 的 。 但 是 ， 当 环境 变化 时 ， 原 来 的 
业务 流程 可 能 会 变 得 不 可 用 。 因 而 ， 由 于 不 能 引入 新 的 流程 ， 很 可 能 使 一 个 系统 的 业务 价值 
降低 。 

3. 系统 的 可 靠 性 。 系 统 可 靠 性 不 仅仅 是 一 个 技术 问题 ， 也 是 一 个 业务 问题 。 如 果 系 统 
不 可 靠 ， 而 且 问 题 直接 影响 商业 用 户 ， 或 者 让 业务 处 理 中 的 人 从 别 的 任务 转 过 来 解决 这 些 问 
题 ， 那 么 系统 的 业务 价值 较 低 。 

4. 系统 的 输出 。 这 里 的 关键 问题 是 系统 输出 对 于 成 功 的 业务 功能 的 重要 性 。 如 果 业 务 依 
赖 于 这 些 输 出 ， 那 么 系统 就 含有 高 的 业务 价值 。 相 反 ， 如 果 这 些 输出 可 以 用 某 种 方法 很 容易 
地 产生 ,或 者 系统 产生 的 输出 很 少 被 使 用 ， 那 么 它 的 业务 价值 就 很 低 。 

例如 ， 有 一 家 公司 提供 一 个 旅行 预定 系统 ， 人 负责 安 排 旅行 的 人 员 可 以 通过 此 系统 向 认可 
的 旅行 代理 人 发 出 订单 ， 该 公司 然后 得 到 预订 凭证 和 发 票 。 但 是 ， 业 务 价值 评估 可 能 显示 在 
总 的 旅行 订单 中 只 有 相当 小 的 一 部 分 使 用 了 此 系统 。 负 责 旅行 安排 的 人 们 发 现 ， 通 过 旅行 提 
供 商 的 网 站 直接 与 它们 联系 更 便宜 也 更 方便 。 这 个 系统 还 将 继续 使 用 ， 但 是 保留 这 个 系统 没 
有 什么 太 大 的 意义 ， 因 为 可 以 从 外 部 系统 得 到 相同 的 功能 。 

相反 ， 如 果 一 个 公司 开发 了 一 个 用 来 跟踪 所 有 客户 以 前 的 订单 记录 并 能 自动 生成 提醒 客 
户 续 订 货物 的 系统 。 其 结果 是 有 大 量 的 续 订 订单 ， 而 且 使 客户 倍 感 满意 ， 因 为 他 们 感到 供应 
商 了 解 他 们 的 需要 。 这 样 的 系统 输出 对 于 业务 来 说 是 非常 重要 的 ， 因 此 该 系统 有 很 高 的 业务 
价值 。 

若 从 技术 的 角度 来 评估 软件 系统 ， 需 要 考虑 应 用 系统 自身 和 系统 的 运行 环境 。 运 行 环境 
包括 硬件 和 相关 的 支持 软件 (编译 器 、 开 发 环境 等 )。 环 境 很 重要 ， 是 因为 很 多 系统 变更 是 
环境 改变 的 结果 ， 如 硬件 或 操作 系统 的 升级 。 

在 环境 评估 中 需要 考虑 的 因素 如 图 9-10 所 示 。 注 意 这 些 因素 并 不 是 环境 的 所 有 技术 特 
性 ， 还 要 考虑 硬件 供应 商 和 支持 软件 供应 商 的 可 依赖 性 。 如 果 这 些 供应 商 不 再 从 事 此 项 业 
务 ， 他 们 就 不 会 再 提供 对 系统 维护 的 支持 。 
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供应 商 不 再 从 事 相 关 业 务 ， 是 否 有 其 他 人 可 以 维护 该 系统 


所 报告 的 硬件 失效 率 是 否 很 高 ?支持 软件 是 否 崩 溃 并 迫使 系统 重启 


硬件 和 软件 已 使 用 多 少年 ? 硬件 和 支持 软件 越 老 就 越 落后 。 它 们 可 能 仍然 
正确 运行 ， 但 转向 一 个 更 现代 的 系统 会 带 来 显著 的 经 济 和 业务 上 的 回报 


系统 的 性 能 是 否 足 够 ? 性 能 问题 对 系统 用 户 是 否 有 显著 的 影响 
硬件 和 软件 需要 什么 样 的 本 地 支持 ?如 果 这 些 支持 成 本 很 高 ， 那 么 可 能 值得 
考虑 下 系统 替换 
硬件 维护 和 支持 软件 许可 证 的 成 本 是 什么 ?比较 老 的 硬件 的 维护 成 本 可 能 
会 比 现代 化 的 系统 更 高 。 支 持 软 件 可 能 会 有 较 高 的 年 度 许可 证 成 本 
该 系统 与 其 他 系统 的 接口 交互 是 否 存在 问题 ? 例如 ， 编 译 器 是 否 可 以 与 当 
前 的 操作 系统 版 本 一 起 使 用 


图 9-10 ”环境 评估 中 所 使 用 的 因素 


如 果 可 能 的 话 ， 在 对 环境 评估 的 过 程 中 ， 应 该 给 出 系统 的 度量 和 系统 的 维护 过 程 。 有 用 
的 数据 的 例子 包括 : 维护 系统 硬件 和 支持 软件 的 花费 ， 在 某 个 确定 时 间 内 硬件 缺陷 发 生 的 次 
数 ， 对 系统 支持 软件 打 补 丁 和 修改 发 生 的 频 度 等 。 

为 了 评估 应 用 系统 的 技术 质量 ,我们 要 评估 一 系列 因素 OLA 9-11 )， 这 些 因素 主要 关 
于 系统 的 可 靠 性 、 维 护 系统 的 困难 以 及 系统 的 文档 建立 。 我 们 还 要 收集 量化 的 系统 数据 来 帮 
助 我 们 对 系统 质量 做 出 判断 。 质 量 评 估 中 可 能 用 到 的 数据 有 : 

1. 请 求 系统 变更 的 数量 。 系 统 变更 容易 造成 系统 结构 的 损坏 ， 并 为 进一步 变更 增加 了 难 
度 。 这 个 数值 越 高 ， 系 统 的 质量 也 越 低 。 

2. 用 户 界面 数量 。 这 对 于 基于 表格 的 系统 来 说 是 一 个 重要 的 因素 。 在 这 种 系统 中 ， 每 一 
张 表格 都 可 以 看 作 一 个 独立 的 用 户 界面 。 界 面 的 数量 越 多 ， 越 容易 发 生 界面 的 不 一 致 和 宛 余 。 

3. 系统 使 用 的 数据 量 。 使 用 的 数据 量 (文件 的 数量 、 数 据 库 的 规模 等 ) 越 大 ， 就 越 有 可 
能 出 现 降低 系统 质量 的 数据 不 一 致 性 。 当 数据 经 过 长 时 间 的 积累 ， 不 可 避免 地 会 存在 错误 和 
不 一 致 。 清 洗 旧 数据 是 一 个 非常 昂贵 和 耗 时 的 过 程 。 





理解 当前 系统 的 源 代码 有 多 难 ? 所 使 用 的 控制 结构 有 多 复杂 ? 变量 的 名 字 是 
香 能 反映 它们 的 功能 ? 

可 用 的 系统 文档 有 哪些 ?文档 是 否 齐 全 、 一 致 并 进行 了 及 时 更 新 ? 

系统 是 否 存 在 一 个 显 式 的 数据 模型 ? 文件 之 间 的 数据 在 多 大 程度 上 存在 重 
复 ” 系 统 所 使 用 的 数据 是 否 及 时 更 新 而 且 一 致 ? 

应 用 的 性 能 是 否 足 够 ”性 能 问题 对 系统 用 户 是 否 有 显著 的 影响 ? 


开发 该 系统 所 使 用 的 编程 语言 是 否 存 在 现代 的 编译 器 ? 该 编程 语言 是 否 仍 
然 被 用 于 新 系统 开发 ? 

系统 的 所 有 部 分 的 所 有 版 本 是 否 都 由 一 个 配置 管理 系统 进行 管理 ?当前 系 
统 中 所 使 用 的 构件 的 版 本 是 否 存 在 一 个 明确 的 描述 ? 

系统 的 测试 数据 是 否 存 在 ? 当 新 特性 被 增加 到 系统 中 时 ， 所 执行 的 回归 测 
试 是 否 有 记录 ? 

具有 维护 该 应 用 的 技能 的 人 是 否 存 在 ? 对 于 该 系统 有 经 验 的 人 是 否 存在 ? 





图 9-11 应 用 评估 中 所 使 用 的 因素 
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理论 上 说 ， 应 该 根据 客观 的 评估 结果 做 出 处 理 和 遗留 系统 的 决定 。 然 而 在 许多 情况 下 ， 做 
出 的 决定 并 不 是 客观 的 ， 而 是 基于 组 织 或 政治 上 的 考虑 。 举 例 来 说 ， 如 果 两 个 组 织 合 并 ， 其 
中 一 个 组 织 在 政治 上 地 位 显赫 ， 它 的 系统 就 会 被 保留 下 来 ， 另 一 个 组 织 的 系统 显然 被 丢弃 。 
如 果 高 层 管理 者 做 出 向 新 硬件 平台 迁移 的 决定 ， 那 么 应 用 就 需要 被 蔡 换 。 如 果 在 某 一 特定 的 
年 度 内 没有 用 于 系统 转换 的 预算 ， 那 么 系统 维护 还 要 继续 下 去 ， 尽 管 这 将 带 来 较 高 的 长 期 
成 本 。 


9.3 软件 维护 . 


当 软 件 交付 后 ， 软 件 维护 就 成 为 软件 变更 的 一 个 常规 过 程 。 变 更 可 以 是 一 种 更 正 代 码 错 
误 的 简单 变更 ， 也 可 以 是 更 正 设计 错误 的 较 大 范围 的 变更 ， 还 可 以 是 对 描述 错误 进行 修正 或 
提供 新 需求 这 样 的 重大 改进 。 变 更 的 实现 是 修改 已 有 的 系统 构件 以 及 在 必要 的 地 方 添加 新 构 
件 到 系统 中 。 

有 3 种 不 同类 型 的 软件 维护 。 

1. 修复 软件 缺陷 。 通 常 改 正 代 码 错误 费用 相对 较 低 ， 改 正 设计 错误 费用 就 高 得 多 ， 因 为 
要 重 写 很 多 程序 构件 。 需 求 错 误 的 更 正 费用 更 高 ， 因 为 必须 对 系统 进行 大 量 的 重 设计 。 

2. 使 软件 适应 不 同 操作 环境 。 在 系统 环境 的 菜 些 方面 发 生 改变 时 ,需要 进行 这 种 类 型 的 
维护 。 环 境 上 的 改变 包括 硬件 变化 、 操 作 系 统 平台 的 变化 或 其 他 的 支持 软件 的 变化 。 为 了 适 
应 这 些 环境 变化 必须 修改 应 用 系统 。 

3. 增加 或 修改 系统 功能 。 当 系统 需求 随 着 组 织 因 素 或 业务 改变 而 变更 的 时 候 ， 这 种 类 型 
的 维护 就 是 必要 的 了 。 这 时 系统 需要 变更 的 范围 通常 要 比 其 他 类 型 的 维护 要 大 得 多 。 













人 程序 演化 动力 学 


程序 演化 动力 学 是 针对 演化 中 的 软件 系统 的 研究 ， 由 Manny Lehman 和 Les Belady 
两 位 先驱 在 20 世纪 70 年代 开 展 的 。 这 一 研究 得 出 了 所 谓 的 Lehman 定律 ， 被 认为 适用 于 
所 有 的 大 规模 软件 系统 。 这 些 定律 中 最 重要 的 一 些 内 容 包括 : 

1. 一 个 程序 如 果 要 保持 有 用 就 必须 持续 变更 ; 

2. 随 着 程序 的 不 断 变更 ， 它 的 结构 在 退化 ; 

3. 在 一 个 程序 的 生命 周期 中 ， 变 化 率 大 致 不 变 ， 并 且 独 立 于 可 用 的 资源 ; 

4. 在 一 个 系统 的 每 一 个 发 布 中 的 增 量 修改 大 致 不 变 ; 
5. 新 的 功能 必须 加 入 系统 中 以 增加 用 户 的 满意 度 。 
http://software-engineering-book.com/web/program-evolution-dynamics/ 


在 实际 过 程 中 ， 这 些 不 同类 型 的 维护 之 间 没 有 一 个 明确 的 界限 。 在 使 软件 适应 一 个 新 环 
境 的 时 候 ， 可 能 需要 增加 新 的 功能 来 充分 利用 环境 提供 的 服务 。 软 件 缺陷 可 能 是 因为 系统 在 
一 种 未 预料 的 方式 下 使 用 才 得 以 暴露 ， 修 正 这 类 缺陷 的 最 好 方法 是 改变 系统 以 适应 它们 的 工 
EFT. 

尽管 维护 的 不 同类 型 得 到 了 普遍 认可 ,但 有 时 可 能 会 使 用 其 他 不 同 的 分 类 名 称 。 人 们 广 
泛 使 用 的 “纠正 性 维护 ”是 指 缺 陷 修补 维护 ;“ 适 应 性 维护 ”有 时 是 指 为 适应 新 环境 所 做 的 维 
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护 ， 而 有 时 又 是 指 对 新 需求 的 适应 性 维护 ;“ 完 善 性 维护 ”有 时 是 指 实现 一 个 新 需求 来 完善 软 
件 ， 而 有 时 又 是 指 保留 系统 的 功能 但 改善 结构 和 性 能 。 由 于 
这 些 名 称 含义 的 不 确定 性 ， 本 章 尽 量 避 免 使 用 这 类 术语 。 

图 9-12 显示 了 根据 最 新 调查 数据 (Davidsen and Krogstie 
2010) 得 出 的 维护 费用 的 大 致 分 布 。 该 项 研究 将 维护 成 本 
分 布 与 1980 一 2005 年 的 一 些 早期 研究 进行 了 比较 ,发 现 维 ， /和 SSS 
护 成 本 的 分 布 在 这 30 年 间 变 化 很 小 。 虽 然 没 有 更 多 的 最 新 | 功能 添加 或 修改 
数据 ， 但 这 表明 这 种 分 布 仍然 很 大 程度 上 是 正确 的 。 修 复 ( 58% ) 
系统 缺陷 不 是 最 昂贵 的 维护 活动 。 通 过 系统 演化 适应 新 环 
境 以 及 新 的 或 发 生变 化 的 需求 通常 会 花费 大 部 分 的 维护 工 
作 量 。 

通常 在 系统 投入 使 用 之 后 增加 功能 ， 较 之 在 开发 期 间 图 9-12 维护 工作 量 分 布 
实现 相同 的 功能 代价 要 高 得 多 ， 主 要 原因 如 下 有 以 下 4 点 。 

1. 团队 稳定 性 。 系 统 移交 之 后 通常 要 解散 团队 ， 把 人 员 分 配 到 其 他 新 项 目 中 。 负 责 系 统 
维护 的 新 团队 或 个 人 既 不 了 解 该 系统 ， 也 不 了 解 系统 设计 决策 的 背景 ,这样 在 对 系统 进行 变 
更 之 前 就 要 花费 很 多 精力 来 理解 现 有 系统 。 

2. 糟糕 的 开发 实践 。 系 统 的 维护 合同 一 般 是 独立 于 系统 开发 合同 的 。 维 护 合同 是 与 另外 
的 公司 签署 的 ， 而 不 是 与 原 开 发 者 签署 的 。 这 个 因素 连同 缺乏 团队 稳定 性 因素 一 起 ， 使 开发 
团队 缺乏 动力 去 写 维护 性 好 的 软件 。 如 果 一 个 开发 团队 为 减少 工作 量 而 走 捷径 ， 即 使 意味 着 
以 后 软件 的 改动 会 更 加 困难 ， 他 们 也 认为 值得 去 做 。 

3. 人 员 技 术 水 平 。 维 护 人 员 一 般 都 缺乏 经 验 ， 而 且 不 熟悉 应 用 领域 。 软 件 工 程 人 员 对 维 
护 活 动 没 有 什么 好 印象 ,通常 认为 维护 不 需要 太 多 技术 ， 不 如 做 系统 开发 那么 光彩 ， 所 以 通 
党 是 分 配 最 低级 的 职员 去 做 。 此 外 ， 旧 的 系统 可 能 是 用 已 经 淘汰 的 程序 语言 写成 的 ， 维 护 人 
员 可 能 没有 多 少 使 用 这 些 语言 开发 的 经 验 ， 必 须 经 过 学 习 方 能 胜任 维护 工作 。 

4. 程序 年 限 和 结构 。 随 着 程序 不 断 的 变更 ， 其 结构 受到 了 破坏 。 结 果 是 ， 随 着 程序 年 龄 
的 增加 ， 它 们 变 得 越 来 越 不 容易 理解 和 变更 。 此 外 ， 许 多 遗留 系统 没有 使 用 现代 化 的 软件 工 
程 技术 来 开发 。 这 些 系统 的 结构 在 设计 之 初 就 没有 规划 好 ， 而 且 系 统 开发 通常 只 注重 效率 优 
化 而 很 少 考虑 其 易 理 解 性 。 这 些 老 系统 的 文档 要 么 没有 要 么 就 是 不 完整 ， 还 有 可 能 缺乏 一 致 
性 。 旧 的 系统 也 没有 采用 配置 管理 ， 因 此 在 进行 系统 变更 时 ， 常 常 要 在 寻找 系统 构件 的 合适 
版 本 上 浪费 时 间 。 















K 文档 

系统 文档 可 以 通过 为 维护 者 提供 关于 系统 的 结构 和 组 织 的 信息 以 及 系统 向 用 户 提供 
的 特征 来 帮助 维护 过 程 。 虽 然 敏捷 方法 的 支持 者 认为 代码 应 该 是 首要 的 文档 ， 更 高 层 的 设 
计 模 型 以 及 关于 依赖 和 约束 的 信息 可 以 使 理解 代码 以 及 修改 代码 变 得 更 容易 。 


http://software-engineering-book.com/web/documentation/ ( web chapter ) 


前 三 个 问题 的 存在 是 因为 很 多 组 织 仍然 把 系统 开发 和 系统 维护 看 作 独 立 的 活动 。 维 护 被 
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视 为 第 二 等 的 活动 ， 而 且 没 有 动力 为 减少 系统 变更 开销 而 投资 。 要 想 彻 底 解决 这 个 问题 ， 首 
先 必须 接受 这 样 一 个 观点 : 系统 很 少 有 一 个 确定 的 生存 周期 ， 而 是 以 某 种 形态 在 一 个 不 确定 
的 期 限 内 连续 使 用 。 正 如 前 面 所 说 的 那样 ， 应 当 将 系统 看 成 是 贯穿 于 它 生 命 周期 的 在 连续 的 
开发 过 程 中 不 断 演化 的 。 软 件 维护 应 该 和 新 软件 开发 有 同等 的 地 位 。 

第 4 个 问题 ， 即 退化 的 系统 结构 问题 ， 在 某 种 程度 上 讲 是 最 容易 解决 的 问题 。 可 以 通 
过 再 工程 技术 来 改善 系统 结构 和 可 理解 性 。 如 果 适 当 的 话 ， 可 以 通过 体系 结构 的 转换 (在 本 
章 稍 后 讨论 ) 使 系统 适应 新 的 硬件 。 重 构 能 够 提升 系统 代码 的 质量 并 且 可 以 使 之 更 加 容易 
修改 。 

原则 上 ， 投 入 力量 设计 和 实现 一 个 系统 来 降低 未 来 变更 的 成 本 几乎 总 是 合算 的 。 在 交付 
之 后 添加 新 功能 是 昂贵 的 ， 因 为 必须 花 时 间 学 习 系 统 并 分 析 所 提出 的 变更 的 影响 。 在 开发 过 
程 中 所 做 的 对 软件 进行 组 织 使 之 更 容易 理解 和 修改 的 工作 可 以 降低 演化 成 本 。 好 的 软件 工程 
技术 ， 例 如 精确 的 规格 说 明 、 测 试 先 行 的 开发 、 面 回 对 象 开发 、 配 置 管理 的 使 用 都 有 助 于 降 
低 维 护 成 本 。 

这 些 为 通过 提高 系统 可 维护 性 上 的 投资 来 获得 整个 生命 周期 的 成 本 节省 提供 了 原则 上 的 
论据 ， 然 而 不 笠 的 是 这 些 论 据 无 法 通过 真实 数据 来 证 实 。 收 集 数据 很 昂贵 ， 数 据 的 价值 难以 
判断 。 因 此 ， 绝 大 多 数 公 司 都 认为 收集 和 分 析 软 件 工程 数据 不 值得 。 

实际 上 ， 大 多 数 企 业 都 不 太 愿 意 在 软件 开发 上 花费 更 多 的 精力 来 降低 长 期 维护 成 本 。 他 
们 之 所 以 不 情愿 主要 是 因为 以 下 两 个 原因 。 

1. 公司 制订 季度 或 年 度 支 出 计划 ， 并 鼓励 管理 人 员 减 少 短期 成 本 。 投 资 可 维护 性 会 导致 
短期 成 本 上 涨 ， 这 部 分 是 可 衡量 的 。 然 而 ， 与 此 同时 ,长 期 收益 却 很 难 衡 量 ， 所 以 企业 不 愿 
意 将 钱 花 在 未 来 回报 未 知 的 事情 上 。 

2. 开发 人 员 通 常 不 负责 维护 他 们 所 开发 的 系统 。 因 此 ， 他 们 很 少 想到 通过 一 些 额 外 的 工 
来 降低 维护 成 本 ， 因 为 他 们 不 会 从 中 获 益 。 

解决 这 个 问题 的 唯一 方法 是 集成 开发 和 维护 ， 从 而 使 最 初 的 开发 团队 在 整个 软件 生命 周 
期 中 始终 对 软件 负责 。 对 于 软件 产品 和 诸如 亚马逊 等 开发 和 维护 自己 的 软件 的 公司 来 说 ， 这 
是 可 能 的 (O'Hanlon 2006). 然而， 对 于 由 软件 公司 为 客户 开发 的 定制 化 软件 来 说 ， 这 是 不 
可 能 发 生 的 。 


9.3.1 维护 预测 


维护 预测 关注 评估 软件 系统 可 能 需要 的 变更 ， 并 识别 系统 中 变更 的 代价 有 可 能 最 高 的 
部 分 。 如 果 理 解 这 些 ， 那 么 就 可 以 针对 最 有 可 能 发 生变 更 的 软件 构件 进行 特别 的 设计 ， 从 而 
使 其 具有 更 好 的 适应 性 。 还 可 以 投入 力量 去 改进 这 些 构件 ， 以 减少 其 生命 周期 维护 成 本 。 同 
样 ， 应 当 试 着 去 估计 在 给 定时 间 内 的 系统 的 维护 成 本 。 图 9-13 说 明了 对 这 些 不 同方 面 的 预 
测 和 相关 问题 。 

预测 变更 请 求 的 数量 需要 了 解 系 统 和 外 部 环境 之 间 的 关系 。 许 多 系统 与 外 部 环境 之 间 存 
在 着 复杂 的 关系 ， 对 环境 所 做 的 改变 不 可 避免 地 导致 系统 变更 的 发 生 。 要 对 系统 和 系统 的 环 
境 之 间 的 关系 做 出 判断 ， 应 该 评 佑 以 下 几 点 。 

1. 系统 接口 的 数量 和 复杂 性 。 接 口 越 多 、 越 复杂 ， 接 口 变更 请 求 就 越 有 可 能 作为 新 的 需 
求 被 提出 来 。 

2. 自身 具有 吻 变 性 的 系统 需求 的 数量 。 如 第 4 章 中 所 讨论 的 ， 那些 反映 组 织 政 策 和 流程 
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的 需求 比 那些 基于 稳定 的 领域 特性 的 需求 更 容易 变动 。 
3. 系统 被 使 用 时 所 处 的 业务 过 程 。 业 务 过 程 在 演化 的 时 候 ， 就 会 产生 系统 变更 请 求 。 使 
用 系统 的 业务 过 程 越 多 ， 要 求 系统 变更 的 请 求 就 会 越 多 。 


| | 系统 哪些 部 分 的 维护 | 
en | 


受到 变更 请 求 的 影响 ? | 







系统 的 生命 周期 “| 

会 goo f 

预测 系统 变更 | 预测 维护 成 本 维护 成 本 DAME? | 
个 | 
硕 计 可 能 发 生 的 “下 jee | 
变更 请 求 有 多 少 ? | i 


图 9-13 ”维护 预测 





很 多 年 以 来 ， 研 究 人 员 一 下 在 研究 程序 复杂 性 和 可 维护 性 (Banker et al. 1993, Coleman 
et al. 1994, Kozlov et al. 2008) 之 间 的 关系 。 这 些 研 究 结论 都 在 意料 之 中 : 系统 或 构件 越 
复杂 ， 其 维护 费用 就 越 高 。 复 杂 性 度量 在 识别 那些 维护 费用 特别 高 的 个 别 程序 构件 时 特别 有 
有 用。 因此， 用 比较 简单 的 构件 去 代替 特别 复杂 的 系统 构件 是 划算 的 。 

当 系 统 已 经 投入 服务 的 时 候 ， 可 以 使 用 过 程 数 据 来 帮助 预测 可 维护 性 。 对 可 维护 性 评估 
有 用 的 过 程度 量 包括 以 下 4 个 。 

1. 请 求 纠正 性 维护 的 数量 。 如 果 失 败 报告 的 数量 在 增加 ， 这 可 能 暗示 着 在 维护 过 程 期 间 
有 更 多 的 错误 引入 程序 之 中 了 ， 这 样 可 能 会 导致 系统 可 维护 性 的 下 降 。 

2. 影响 分 析 所 需 的 平均 时 间 。 它 反映 了 受到 变更 请 求 影响 的 程序 构件 数量 。 如 果 这 个 时 
间 在 增加 ， 就 暗示 着 越 来 越 多 的 构件 受到 影响 ， 可 维护 性 正在 下 降 。 

3. 实现 一 个 变更 请 求 的 平均 时 间 。 这 不 同 于 影响 分 析 所 需 的 时 间 ， 尽 管 它们 之 间 可 能 存 
在 关联 性 。 它 所 涉及 的 活动 是 对 系统 及 其 文档 进行 变更 ， 而 不 是 只 评估 哪些 构件 受到 影响 。 
如 果实 现 变 更 的 时 间 在 增加 ， 这 可 能 预示 着 可 维护 性 在 下 降 。 

4. 突出 的 变更 请 求 的 数量 。 如 果 这 种 变更 请 求 数量 随 着 时 间 在 增加 ， 可 能 意味 着 可 维护 
性 在 下 降 。 

我 们 根据 变更 请 求 的 预测 信息 和 系统 可 维护 性 的 预测 信息 来 预测 维护 费用 。 多 数 管理 者 
是 将 这 些 信息 和 自己 的 直觉 、 经 验 相 结 合 来 进行 成 本 估计 的 。 成 本 估计 的 COCOMO 2 模型 
指出 : 软件 维护 工作 量 是 基于 理解 现 有 代码 的 工作 量 和 开发 新 代码 的 工作 量 来 估计 的 。 详 细 
讨论 见 第 23 章 。 


93.2 软件 再 工程 


正如 前 面 草 节 所 讨论 的 ， 系 统 演化 过 程 包括 去 理解 要 变更 的 程序 ， 然 后 去 实现 这 些 变 
E, 但 是 ， 对 于 很 多 系统 ， 特 别 是 遗留 的 老 系统 ， 它 们 是 很 难 理解 和 进行 变更 的 。 这 些 程序 
可 能 最 初 牺牲 了 一 些 可 理解 性 来 换取 在 性 能 上 或 空间 利用 上 的 改善 。 此 外 ， 随 着 时 间 的 推 
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移 ， 最 初 的 程序 结构 经 过 一 系列 的 变更 后 已 被 破坏 了 。 

为 了 使 得 遗留 系统 的 维护 问题 变 得 更 简单 ， 可 以 再 工程 这 些 系统 以 增强 它们 的 结构 性 和 
可 理解 性 。 再 工程 包括 对 系统 重新 建立 文档 、 重 构 系 统 体系 结构 、 用 一 种 更 先进 的 程序 设计 
语言 转换 系统 、 修 改 和 更 新 系统 的 数据 结构 和 系统 的 数据 取 值 。 一 般 来 讲 ， 软 件 的 功能 不 会 
改变 ， 也 应 当 避 免 对 系统 体系 结构 的 大 的 改动 。 

再 工程 相对 于 直接 替换 系统 来 说 ， 有 两 个 重要 的 优势 。 

1. 较 小 的 风险 。 对 某 个 关键 业务 软件 的 重新 开发 是 要 冒 很 高 风险 的 。 系 统 描述 中 会 发 生 
错误 ， 而 且 开 发 过 程 中 也 会 出 现 种 种 问题 。 在 引入 新 软件 上 时 间 的 拖延 将 意味 着 商业 上 的 损 
失 且 招致 额外 的 花费 。 

2. 较 低 的 成 本 。 较 之 重新 开发 一 个 软件 所 用 成 本 ， 再 工程 的 成 本 要 小 得 多 。Uirich 
(Ulrich 1990 ) 引用 了 一 个 商业 系统 作为 例子 ， 该 系统 再 实现 的 成 本 高 达 5 000 万 美元 。 最 后 
系统 仅 用 1200 万 美元 就 成 功 地 实现 了 再 工程 。 如 果 运 用 先进 的 软件 技术 ， 重 新 实现 的 花费 
与 上 面 的 相 比 可 能 要 少 , 但 是 可 以 肯定 的 是 它 仍 然 会 超过 再 工程 的 花费 。 

图 9-14 是 一 个 再 工程 过 程 的 通用 模型 。 过 程 的 输入 是 一 个 遗留 程序 ， 输 出 是 同一 个 程 
序 的 一 个 已 改进 和 重新 构造 的 版 本 。 这 个 再 工程 过 程 中 的 活动 如 下 。 

1. 源 代 码 转 换 。 使 用 转换 工具 ， 将 程序 从 旧 的 程序 设计 语言 转换 到 相同 语言 的 一 个 比较 
新 的 版 本 或 男 一 种 语言 。 

2. 逆向 工程 。 对 程序 进行 分 析 ， 并 从 中 抽取 信息 来 记录 它 的 组 织 结构 和 功能 。 这 个 过 程 
通常 是 全 自动 完成 的 。 

3. 程序 结构 改进 。 对 程序 的 控制 结构 进行 分 析 和 修改 ， 使 它 更 容易 阅读 和 理解 。 

4. 程序 模块 化 。 程 序 的 相关 部 分 被 收集 在 一 起 ， 在 一 定 程度 上 消除 宛 余 。 在 某 些 情况 
下 ， 这 个 阶段 可 能 包括 体系 结构 的 重 构 (例如 ， 一 个 系统 本 来 使 用 几 个 不 同 的 数据 存储 器 ， 
结果 被 要 求 使 用 一 个 单独 的 存储 器 )。 

5. 数据 再 工程 。 改 变 程 序 处 理 的 数据 以 反映 程序 变更 。 这 可 能 意味 着 重新 定义 数据 库 模 
式 和 将 已 存在 的 数据 库 向 新 的 结构 转变 。 需 要 经 常 清理 数据 ， 包 括 查 找 和 改正 错误 、 删 除 宛 
余 记 录 ， 等 等 。 


最 初 的 程序 





组 后 的 程序 


图 9-14 再 工程 过 程 


程序 再 工程 可 能 不 需要 图 9-11 中 显示 的 所 有 步骤， 如 果 仍 使 用 应 用 程序 的 编程 语言 ， 
源 代码 就 没有 必要 做 转换 ; 如 果 再 工程 完全 依赖 于 自动 化 工具 ， 那么 通过 逆向 工程 来 恢复 文 
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正如 第 19 章 所 讨论 的 ， 为 了 使 再 工程 系统 和 新 软件 互 操 作 ， 我 们 可 能 需要 开发 适配器 
构件 。 这 样 就 隐藏 了 软件 系统 的 最 初 的 接口 ， 呈 现 出 新 的 、 较 好 的 结构 化 接口 ， 可 以 被 其 他 
构件 使 用 。 对 于 开发 大 型 的 可 复 用 构件 来 说 ， 遗 留 系统 的 封装 是 一 项 很 重要 的 技术 。 

再 工程 的 成 本 很 显然 依赖 于 所 做 的 工作 的 程度 。 图 9-15 给 出 了 再 工程 所 可 能 使 用 方法 
的 一 个 详 系 。 成 本 从 左 到 右 逐 渐 增 长 ， 所 以 源 代码 转换 是 最 便宜 的 选项 ， 而 再 工程 加 上 一 部 
分 体系 结构 迁移 是 费用 最 高 的 选项 。 


自动 的 程序 结构 重组 程序 和 数据 结构 重组 
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自动 的 源 代码 转换 带 有 手工 修改 的 结构 重组 加 体 





自动 结构 重组 系 结构 修改 
增加 的 成 本 


图 9-15 ”再 工程 方法 


软件 再 工程 的 缺点 是 ， 系 统 经 过 再 工程 后 能 改善 的 范围 受到 一 定 的 限制 。 举 例 来 说 ， 它 
不 可 能 把 面 问 功能 的 系统 转换 为 面向 对 象 的 系统 ; 主要 体系 结构 的 变更 或 对 系统 数据 管理 的 
重新 组 织 不 能 目 动 地 执行 ， 因 此 需要 额外 的 高 成 本 ; 虽然 再 工程 能 改善 可 维护 性 ， 但 经 过 再 
工程 的 系统 不 可 能 像 用 现代 软件 工程 方法 开发 的 新 系统 一 样 好 维护 。 


9.3.3 软件 重 构 


重 构 (refactoring) 是 提升 程序 以 减缓 其 由 于 更 改 而 退化 的 过 程 。 它 意味 着 通过 修改 程 
序 来 改进 程序 结构 性 ， 降 低 程序 复杂 性 ， 让 程序 变 得 更 加 易于 理解 。 重 构 有 时 被 认为 局 限于 
面 问 对 象 的 开发 ， 但 是 其 原理 可 以 被 任何 开发 方法 所 使 用 。 当 重 构 一 个 程序 时 ， 不 应 该 增加 
其 功能 ， 而 应 该 注重 程序 的 改进 。 因 此 ， 可 以 把 重 构 看 成 是 “预防 性 的 维护 ”， 以 此 来 减少 
未 来 变更 产生 的 问题 。 

重 构 是 类 似 于 极限 编程 这 样 的 敏捷 方法 的 一 个 固有 部 分 ， 因 为 这 些 方法 都 是 应 对 程序 变 
更 的 。 因 此 ， 程 序 的 质量 容易 退化 得 很 快 。 所 以 敏捷 开发 者 经 常 重 构 它 们 的 程序 来 避免 这 样 
的 退化 。 对 于 敏捷 方法 中 对 回归 测试 的 强调 ， 降 低 了 由 于 重 构 引 进 新 错误 的 风险 。 引 入 的 任 
何 错误 都 是 可 检测 的 ， 因 为 之 前 成 功 的 测试 这 时 会 失败 。 然 而 ， 重 构 不 依赖 于 其 他 的 “敏捷 
活动 "， 并且 能 够 被 任何 方法 用 于 开发 。 

尽管 再 工程 和 重 构 都 是 要 将 软件 变 得 更 加 容易 理解 和 变更 ， 但 它们 并 不 是 同一 回 事 。 再 
工程 发 生 在 系统 已 经 维护 了 一 段 时 间 并 且 维 护 费 用 不 断 上 升 的 情况 下 ， 通 过 使 用 目 动 化 工具 
来 处 理 并 再 工程 一 个 遗留 系统 ， 产 生 一 个 更 具 可 维护 性 的 新 系统 。 重 构 是 一 个 连续 不 断 的 改 
进 过 程 ， 它 贯穿 于 开发 和 演化 的 整个 过 程 。 重 构 是 要 避免 导致 成 本 上 升 和 维护 困难 的 结构 以 
及 代码 的 退化 问题 。 

Fowler A (Fowler et al. 1999) 表示 ， 存 在 一 些 固定 模式 的 情况 ( Fowler 等 称 之 为 
“ 坏 味 道 ”)， 其 中 程序 的 代码 能 够 被 改进 。 这 些 能 够 通过 重 构 被 改进 的 情况 包括 如 下 这 些 。 

1. 宛 余 代码 。 在 程序 的 不 同 地 方 相似 的 代码 可 能 重复 出 现 很 多 次 。 这 种 情况 可 以 删除 它 
并 用 一 个 方法 或 要 求 的 功能 去 实现 。 
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2. 长 方法 。 如 果 方 法 太 长 了 ， 那么 这 个 方法 应 当 被 重新 设计 成 几 个 较 短 的 方法 。 

3. 选择 语句 。 这 种 情况 常常 牵扯 到 重复 ， 因 为 选择 语句 switch 依靠 的 是 同一 个 值 的 不 
同类 型 。 选 择 语 句 可 能 分 散在 程序 的 各 个 地 方 。 在 面向 对 象 语言 中 ， 常 第 可 以 通过 多 态 性 来 
实现 同一 个 事情 。 

4. 数据 聚集 。 当 同样 的 一 组 数据 项 (类 中 的 域 , 方法 中 的 参数 ) 在 程序 的 不 同 地 方 重复 
出 现时 ， 数 据 聚 集 就 出 现 了 。 这 通常 可 以 通过 用 一 个 对 象 封装 所 有 数据 来 解决 。 

5. 假设 的 一 般 性 。 即 开发 者 为 了 以 后 万 一 使 用 到 在 程序 中 包含 了 一 般 性 。 这 通常 可 以 简 
单 地 删除 掉 。 

Fowler 在 他 的 书 和 网 站 中 ， 也 给 出 了 一 些 基本 的 重 构 转换 ， 这 些 重 构 可 以 被 单独 或 一 
起 使 用 来 处 理 “ 坏 味道 ”。 这 些 转 换 的 例子 包括 : 抽取 方法 (Extract Method)， 移 除 重复 
的 部 分 并 创建 一 个 新 方法 ; 合并 条 件 表达 式 ( Consolidate Conditional Expression)， 用 一 个 
条 件 测试 苦 换 一 系列 条 件 测试 ; 提升 方法 (Pull Up Method)， 用 父 类 中 的 一 个 方法 将 各 个 
子 类 中 的 类 似 方法 蔡 换 掉 。 交 互 式 开 发 环境 ， 例 如 Eclipse, FEE H) Oath ae He HE T Ot 
构 的 支持 。 这 样 使 得 发 现 程序 中 的 相互 依赖 的 部 分 更 为 容易 ， 这 些 部 分 在 实现 重 构 时 需要 
修改 。 

重 构 在 程序 开发 期 间 实 现 ， 是 一 项 有 效 降 低 程 序 长 期 维护 成 本 的 途径 。 然 而 ， 当 你 需 
要 维护 一 个 其 结构 已 经 明显 退化 的 程序 时 ， 仅 仅 通过 重 构 代 码 是 远 远 不 够 的 。 可 能 还 要 考虑 
对 设计 的 重 构 ， 这 可 能 是 一 个 花费 更 高 和 更 加 困难 的 问题 。 设 计 重 构 包 插 识别 相关 设计 模式 
( 详 见 第 7 章 )， 并 用 实现 这 些 实际 模式 的 代码 替换 原先 的 代码 (Kerievsky 2004 ) 。 


要 后 


e 软件 开发 与 演化 应 当 是 一 个 集成 的 、 完 整 的 、 增 量 式 的 过 程 ， 它 可 以 用 螺旋 模型 
表示 。 

对 于 定制 系统 来 说 ， 软 件 维护 的 费用 一 般 超 过 了 软件 开发 的 费用 。 

软件 演化 过 程 是 由 变更 请 求 驱动 的 ， 包 括 变 更 影响 分 析 、 版 本 规划 和 变更 实现 
遗留 系统 是 旧 的 软件 系统 , 它 使 用 过 时 的 软件 和 硬件 技术 开发 ， 但 对 于 企业 仍然 
有 用 。 

应 该 对 遗留 系统 的 业务 价值 、 应 用 软件 的 质量 以 及 应 用 软件 的 环境 进行 评估 ， 然 后 
才能 决定 是 否 更 换 、 转 换 和 维护 系统 。 

软件 维护 有 3 种 基本 类 型 : 修复 软件 中 的 缺陷 、 使 软件 适应 不 同 运行 环境 ， 以 及 向 
系统 中 添加 或 修改 功能 。 

软件 再 工程 的 目标 是 改善 系统 结构 和 文档 ， 使 其 更 容易 理解 和 变更 。 

重 构 做 出 一 些小 的 程序 修改 同时 保持 原 有 功能 不 变 ， 它 可 以 看 作 是 一 种 预防 性 的 
维护 。 | 


阅读 推荐 
《 Working Effectively with Legacy Code 》 这 本 书 提供 了 关于 处 理 遗 留 系 统 遇 到 的 问题 和 
困难 的 可 靠 实 用 的 建议 。(M. Feathers, 2004, John Wiley & Sons) 


《 The Economics of Software Maintenance in the 21st Century 》 这 篇 文章 是 软件 维护 的 
一 个 简要 概述 ， 并 且 对 维护 的 开销 做 了 详细 的 介绍 。Jones 讨论 了 影响 维护 开销 的 因素 并 
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AAR 75% 的 软件 工作 量 都 和 维护 活动 有 关 。(C. Jones, 2006 ) http://www.compaid.com/ 
caiinternet/ezine/ capersjones-maintenance.pdf 

《 You Can’t Be Agile in Maintenance? 》 这 篇 博文 讨论 了 敏捷 开发 的 方法 是 否 适合 维 
护 ， 并 且 讨 论 了 XP 所 建议 的 技术 中 有 哪些 是 有 效 的 。(J. Bird, 2011 ) http://swreflections. 
blogspot.co.uk/2011/10/you-cant-be-agile-in-maintenance.html 

《 Software Reengineering and Testing Considerations 》 是 印度 大 型 软件 公司 发 布 的 关 
于 维护 问题 非常 出 色 的 一 本 白皮书。 CY. Kumar and Dipti, 2012 ) http://www.infosys.com/ 
engineering-services/white-papers/Documents/software-re-engineering-processes.pdf 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap9/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/implementation-and-evolution/ 


练习 


9.1 为 什么 在 现实 环境 中 使 用 的 软件 系统 必须 进行 变更 ， 否 则 就 会 逐渐 失去 其 作用 ? 

9.2 从 图 9-4 中 ， 你 会 发 现 影响 分 析 是 软件 演化 过 程 中 的 一 个 重要 子 过 程 。 利 用 图 示 ， 请 
说 出 哪些 特性 需要 在 变更 影响 分 析 中 考虑 。 

9.3 ”为 什么 遗留 系统 应 当 被 视 为 社会 技术 系统 而 不 仅仅 是 一 个 简单 的 使 用 过 时 技术 的 软件 
系统 ? 

94 什么 情况 下 一 个 组 织 会 决定 废弃 一 个 被 评估 为 高 质量 和 商业 价值 的 系统 ? 

9.5 ”对 遗留 系统 演化 的 策略 选择 是 什么 ”什么 时 候 你 通常 会 蔡 换 整个 或 部 分 系统 而 不 是 继 
续 进行 软件 维护 ? 

9.6 ”为 什么 在 文 持 软件 上 出 现 的 问题 会 使 组 织 不 得 不 替换 遗留 系统 ? 

9.7 ”你 是 公司 的 一 名 软件 项 目 经 理 ， 专 门 从 事 离 岩石 油 业 的 软件 开发 ， 你 现在 需要 发 现 影 
啊 公 司 软件 系统 的 维护 性 的 因素 。 你 该 如 何 设 置 一 个 程序 去 分 析 维 护 的 过 程 以 及 提出 
并 度量 软件 的 维护 指标 ? 

9.8 简要 描述 3 种 不 同类 型 的 软件 维护 。 为 什么 有 时 候 很 难 区 分 它们 ? 

9.9 解释 软件 再 工程 和 重 构 的 区 别 。 

9.10 ”软件 工程 师 是 否 具有 一 种 专业 的 责任 感 尽力 使 所 开发 的 代码 的 维护 开销 较 低 ， 即 使 雇 
主 并 没有 明确 要 求 这 么 做 ? 
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系统 可 依赖 性 和 信息 安全 





由 于 软件 系统 现在 已 经 成 为 我 们 生活 各 个 方面 的 组 成 部 分 ， 所 以 我 们 在 软件 工程 中 所 
面临 的 最 大 挑战 是 确保 我 们 可 以 信任 这 些 系统 。 信 任 一 个 系统 ， 就 是 说 我 们 必须 有 信心 当 需 
要 的 时 候 系统 会 是 可 用 的 并 且 按照 期 望 的 方式 运行 。 系 统 必 须 保 证 信息 安全 ， 从 而 使 我 们 的 
计算 机 或 数据 不 会 受到 威胁 ， 并 且 系 统 必 须 在 发 生 失 效 或 受到 网 络 攻击 的 时 候 迅 速 恢 复 。 因 
此 ， 本 书 的 这 一 部 分 关注 软件 系统 可 依赖 性 和 信息 安全 这 些 重要 话题 。 

第 10 章 介 绍 了 可 依赖 性 和 信息 安全 的 基本 概念 ， 即 可 靠 性 、 可 用 性 、 安 全 性 、 信 息 安 
全 、 韧 性， 解释 了 为 什么 构造 信息 安全 并 且 可 依赖 的 系统 不 仅仅 是 一 个 技术 问题 ， 介 绍 了 用 
于 创建 可 靠 的 以 及 信息 安全 的 系统 的 宛 余 和 多 样 性 这 两 个 基本 的 机 制 。 每 个 可 依赖 性 属性 在 
后 续 的 章节 中 详细 介绍 。 

第 11 章 关 注 可 靠 性 和 可 用 性 ， 介 绍 了 这 些 属性 如 何 被 刻画 为 失效 或 停机 的 概率 ， 讨 论 
了 一 些 面向 容错 系统 体系 结构 的 体系 结构 模式 ， 以 及 可 以 用 于 减少 系统 中 的 缺陷 数量 的 开发 
技术 。 在 最 后 一 节 中 ， 解 释 了 系统 的 可 靠 性 如 何 测试 和 度量 。 

越 来 越 多 的 系统 现在 都 是 安全 关键 系统 ， 其 中 系统 失效 会 危及 到 人 。 第 12 章 关 注 可 以 
用 于 开发 这 些 安全 关键 系统 的 安全 工程 和 技术 。 解 释 了 为 什么 安全 性 是 一 个 比 可 靠 性 更 广 的 
概念 ， 并 且 讨 论 了 得 出 系统 安全 需求 的 方法 。 还 解释 了 为 什么 针对 安全 关键 性 系统 工程 定义 
和 描述 的 过 程 很 重要 ， 并 且 描 述 了 软件 安全 案例 一 一 一 种 用 于 说 明 一 个 系统 为 什么 安全 的 结 
构 化 文档 。 

对 系统 信息 安全 的 威胁 是 当今 社会 面临 的 一 个 主要 问题 ， 为 此 本 部 分 用 了 两 章 来 介绍 这 
个 话题 。 第 13 章 关 注 应 用 信息 安全 工程 一 一 在 各 个 软件 系统 中 实现 信息 安全 的 方法 。 解 释 
了 信息 安全 和 其 他 可 依赖 性 属性 之 间 的 关系 ， 并 且 介 绍 了 信息 安全 需求 工程 、 信 息 安 全 系统 
的 设计 、 信 息 安 全 系统 测试 。 

第 14 章 是 新 的 一 章 ， 针 对 更 广 的 韧性 话题 。 韧 性 系统 可 以 在 系统 的 一 些 部 分 失效 或 者 
遭受 网 络 攻击 时 继续 提供 它 的 重要 服务 。 本 章 解 释 了 网 络 安全 的 基础 ， 并 讨论 了 韧性 是 如 何 
使 用 宛 余 和 多 样 性 以 及 通过 人 员 授 权 和 技术 机 制 来 实现 的 。 最 后 ， 讨 论 了 有 助 于 提高 系统 韦 
性 的 系统 和 软件 设计 问题 。 
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可 依赖 系统 





目标 

本 章 的 目标 是 介绍 软件 可 依赖 性 的 概念 ， 以 及 开发 一 个 可 依赖 的 系统 所 涉及 的 内 容 。 阅 
读 完 本 章 后 ;你 将 : 

o 了 解 可 依赖 性 和 信息 安全 性 对 软件 系统 的 重要 性 ; 

e 了 解 可 依赖 性 的 5 个 重要 维度 ， 即 可 用 性 、 可 靠 性 、 安 全 性 、 信 息 安 全 性 和 可 恢复 

性 ; 
e 了 了解 社 会 技术 系统 的 概念 ， 以 及 为 什么 需要 将 其 视 为 一 个 整体 系统 而 不 是 简单 的 软 
件 系统 ; 

o 了 解 元 余 性 和 多 样 性 在 实现 可 依赖 的 系统 和 过 程 中 起 到 的 重要 作用 ; 

e 树立 使 用 形式 化 方法 构建 可 依赖 的 系统 的 意识 。 

随 着 计算 机 系统 已 经 深入 到 我 们 的 业务 和 个 人 生活 当中 ， 系 统 与 软件 的 失效 所 带 来 的 问 
题 也 在 增加 。 一 个 电子 商务 公司 的 服务 软件 的 失效 有 可 能 导致 收入 上 较 大 的 损失 ， 并 有 可 能 
正 及 这 家 公司 的 顾客 。 一 个 般 入 汽车 上 的 控制 软件 发 生 错 误 可 能 会 导致 昂贵 的 召回 和 维修 费 
H, 并且 在 最 坏 的 情况 下 ， 可 能 成 为 导致 意外 事故 的 因素 之 一 。 公 司 里 的 电脑 如 果 被 恶意 代 
码 感染 ， 则 需要 昂贵 的 清除 操作 以 找 出 问题 所 在 ， 并 可 能 导致 损失 或 敏感 信息 的 毁坏 。 

因为 软件 密集 型 系统 对 于 政府 、 公 司 和 个 人 都 如 此 重要 ， 所 以 广泛 使 用 的 软件 必须 是 可 
信赖 的 。 这 种 软件 应 该 在 需要 时 是 可 用 的 ， 应 该 能 够 正确 地 工作 且 不 会 出 现 不 受 欢 迎 的 副 作 
用 ,例如 未 授权 的 信息 泄露 。 简 而 言 之 ,我 们 应 该 感到 软件 系统 是 足够 可 靠 的 。 

可 依赖 性 (dependability) 这 个 概念 是 由 Jean-Claude Laprie 在 1995 年 提出 来 的 ， 目 的 
是 覆盖 系统 的 可 用 性 、 可 靠 性 、 安 全 性 和 信息 安全 性 。 他 提出 的 这 一 理论 在 接 下 来 的 数 年 
中 被 不 断 讨论 和 修改 ， 并 最 终 在 2004 年 正式 发 表 于 论文 当中 ( Avizienis et al. 2004 )。 正 如 
10.1 节 所 讨论 的 ， 这 些 属 性 是 交织 在 一 起 的 ， 所 以 用 一 个 词 来 覆盖 它们 是 有 意义 的 。 

系统 的 可 依赖 性 通常 比 它们 的 具体 功能 更 加 重要 ;这 主要 是 因为 以 下 几 个 方面 的 原因 。 

1. 系统 失效 影响 到 很 多 人 。 很 多 系统 中 包含 了 一 些 很 少 被 使 用 的 功能 。 如 果 这 些 功能 被 
从 系统 中 移 除 掉 ， 那 么 只 有 一 小 部 分 人 会 受 影 响 。 而 影响 系统 可 用 性 的 系统 失效 潜在 地 影响 
所 有 使 用 系统 的 用 户 。 系 统 失效 可 能 意味 着 正常 的 业务 无 法 进行 。 

2. 用 户 经 常 拒绝 不 可 靠 、 不 安全 或 信息 安全 有 问题 的 系统 。 如 果 用 户 发 现 一 个 系统 不 可 
靠 或 者 信息 安全 有 问题 ， 他 们 就 会 拒绝 使 用 它 。 更 有 甚 者 ， 他 们 还 有 可 能 拒绝 购买 和 使 用 来 
目 同 一 个 公司 的 其 他 产品 。 他 们 不 希望 重复 他 们 在 一 个 不 可 依赖 性 的 系统 上 的 糟糕 经 历 。 

3. 系统 失效 的 代价 可 能 是 巨大 的 。 对 于 某 些 应 用 ， 例 如 反应 堆 控 制 系统 或 者 飞机 导航 系 
统 ， 系 统 失效 的 代价 要 比 一 般 控制 系统 失效 的 代价 大 好 几 个 数量 级 。 诸 如 电源 之 类 的 核心 控 
制 系统 的 失效 会 造成 不 可 估量 的 损失 。 

4. 可 依赖 性 差 的 系统 可 能 导致 信息 丢失 。 数 据 收 集 和 维护 的 成 本 很 高 ， 有 时 甚至 比 处 理 
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它 的 计算 机 系统 还 昂贵 。 恢 复 丢 失 的 或 被 损坏 的 数据 所 需要 的 花费 往往 非常 高 。 

然而 ， 一 个 有 用 的 系统 并 不 一 定 总 是 具有 很 高 的 可 依赖 性 。 例 如 ， 用 来 写 这 本 书 的 文字 
处 理 软 件 就 并 不 是 很 可 徘 , 它 有 时 候 会 突然 失去 啊 应 或 重新 启动 。 即 便 如 此 ， 由 于 它 的 功 
比较 完善 ,我 也 可 以 容忍 这 种 偶尔 发 生 的 意外 情况 。 但 是 ， 由 于 我 不 是 绝对 信赖 这 个 系统 ， 
所 以 我 会 经 第 地 保存 文件 并 且 和 额外 进行 一 些 备份 操作 。 正 因为 我 针对 可 依赖 性 的 缺失 做 了 和 额 
外 的 对 应 处 理 ， 因 此 当 系 统 角 当时 我 可 以 把 损失 降 到 最 低 。 


Q 关键 性 系 纺 


某 些 系统 属于 “关键 性 系统 ”类 别 ， 其 系统 故障 可 能 导致 人 身 伤害 、 破 坏 环境 或 巨大 
的 经 济 损失 。 关 键 性 系统 的 例子 包括 医疗 中 的 诅 入 式 系 统 设备 ， 如 胰岛 素 泵 (安全 关键 )， 
航天 器 导航 系统 (关键 任务 ) 和 在 线 转账 系统 (关键 业务 )。 

关键 系统 开发 非常 昂贵 。 它 们 不 仅 必须 被 开发 出 来 ， 以 便 故障 极 少 发 生 ， 它 们 还 必 
须 包 括 恢复 机 制 ， 以 便 在 故障 发 生 时 和 之 后 使 用 。 


http://software-engineering-book.com/web/critical-systems/ 














构建 可 依赖 的 软件 是 构建 可 依赖 的 系统 工程 中 最 重要 的 一 部 分 。 正 如 第 10 章 中 所 讨论 
的 ， 软 件 通 常 是 一 个 大 的 系统 中 的 一 部 分 。 它 在 一 个 运行 环境 下 执行 ， 这 个 环境 中 包括 有 能 
令 软件 在 其 上 执行 的 硬件 、 软 件 的 使 用 者 ， 还 有 组 织 过 程 或 业务 过 程 。 因 此 当 设 计 一 个 可 依 
赖 的 系统 时 ,我们 需要 考虑 以 下 这 些 方面 。 

1. 硬件 失效 。 系 统 硬 件 失效 有 可 能 是 源 目 设计 上 的 失误 ， 也 可 能 源 自 构件 加 工 制造 中 的 
问题 ， 或 者 是 硬件 构件 已 达到 它们 的 使 用 年 限 了 。 

2. 软件 失效 。 系 统 软件 问题 可 能 是 由 于 规格 说 明 、 设 计 和 实现 中 的 错误 。 

3. 操作 和 失效。 系统 的 操作 人 员 未 能 按照 预期 正确 地 使 用 系统 。 因 为 硬件 和 软件 正在 逐渐 
变 得 可 徘 ， 所 以 操作 上 的 失效 就 成 为 最 大 的 一 个 引起 系统 失效 的 原因 了 o 

这 些 失 效 可 能 是 相互 关联 的 。 人 硬件 构件 的 失效 可 能 需要 系统 操作 员 必 须 处 理 不 可 预料 的 
情况 ， 因 而 增加 了 额外 的 负载 ， 这 使 得 他 们 精神 紧张 一 人 在 这 种 紧张 情况 下 更 容易 出 错 。 
这 又 会 导致 软件 失效 ， 软 件 失 歼 又 意味 着 需要 操作 员 做 更 多 的 工作 ， 神 经 更 加 紧张 ， 等 等 。 

由 此 看 来 ， 对 于 开发 可 徘 的 、 软 件 密集 型 系统 的 设计 者 来 说 尤其 重要 的 是 ， 要 有 整体 的 
社会 技术 系统 观 ， 不 能 只 注意 系统 的 某 个 局 部 。 如 果 系 统 的 硬件 、 软 件 和 操作 过 程 的 设计 是 
孤立 考虑 的 ， 一 个 部 分 的 设计 者 没有 注意 到 其 他 部 分 的 潜在 弱点 ， 那 么 就 有 可 能 在 系统 的 各 
构件 接口 处 出 错 。 


10.1 可 依赖 性 属性 


我 们 都 知道 计算 机 系统 失效 是 怎么 一 回 事 。 在 没有 明显 原因 的 情况 下 ， 计 算 机 系统 有 时 
会 朋 溃 或 者 出 错 。 在 计算 机 上 运行 的 程序 没有 像 预料 的 那样 执行 ， 有 时 可 能 损坏 系统 中 的 数 
据 。 我 们 已 经 习惯 了 这 些 失 效 ， 很 少 有 人 完全 信任 所 使 用 的 计算 机 。 
计算 机 系统 的 可 依赖 性 是 衡量 其 可 信赖 度 (trustworthiness) 的 性 能 指标 。 可 信赖 度 表 
现 为 用 户 对 系统 的 信任 程度 ， 系 统 是 否 能 按照 他 们 预期 的 那样 操作 以 及 系统 是 否 会 在 正常 使 
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用 中 失效 。 以 数值 量化 可 依赖 性 没有 多 大 意义 ， 相 反 ， 我 们 将 其 分 为 这 样 几 个 层次 可 能 会 更 
好 :“ 不 可 依赖 "“ 非 常 可 依赖 "“ 极 度 可 依赖 ”。 

如 图 10-1 所 示 ， 可 依赖 性 包含 了 如 下 5 个 维度 。 

1. 可 用 性 。 一 般 来 讲 ， 系 统 的 可 用 性 (availability) 是 指 系统 在 任何 时 间 都 能 运行 并 能 
够 提供 有 用 服务 的 可 能 性 。 

2. 可 人 靠 性 。 一 般 来 讲 ， 系 统 的 可 靠 性 ( reliability) 是 系统 在 给 定 的 时 段 内 能 正确 提供 用 
户 希 望 的 服务 的 可 能 性 。 

3. 安全 性 。 一 般 来 讲 ， 系 统 的 安全 性 (safety) 是 判断 系统 将 会 对 人 和 系统 的 环境 造成 
伤害 的 可 能 性 。 

4. 信息 安全 性 。 一 般 来 讲 ， 系 统 的 信息 安全 性 (security) 是 判断 系统 能 抵抗 意外 的 或 著 
意 的 人 侵 的 可 能 性 。 

5. 韧性 。 系 统 的 韧性 (resilience) 是 指 当 出 现 一 些 干 扰 性 事件 (比如 ， 设 备 故 障 或 者 恶 
意 攻击 ) 的 时 候 ， 系 统 保持 其 关键 服务 继续 正常 运行 的 可 能 性 。 这 一 特性 是 在 最 近 才 被 加 入 
到 最 初 由 Laprie 所 提出 的 可 依赖 性 属性 之 中 的 。 

图 10-1 所 示 的 可 依赖 性 属性 都 很 复杂 ， 它 们 可 以 分 解 为 一 些 其 他 更 简单 的 属性 。 例 如 ， 
信息 安全 性 包括 完整 性 (保证 系统 程序 和 数据 没有 损坏 )、 机 密 性 (保证 信息 只 能 由 得 到 授权 
的 人 访问 )。 可 靠 性 包括 正确 性 (保证 系统 服务 按照 所 定义 的 那样 提供 )、 精 确 性 (保证 信息 
按照 需要 的 细节 层次 传送 ) 和 及 时 性 (保证 信息 能 在 规定 的 时 间 内 传送 到 )。 





系统 在 需要 时 提供 系统 按照 预期 规定 ”系统 在 出 现 故障 后 系统 在 遭受 意外 攻击 系统 遭 到 破坏 后 进行 
相关 服务 的 能 力 ”提供 服务 的 能 力 “ 能 够 继续 运转 的 能 力 时 进行 防御 的 能 力 ”抵制 和 恢复 的 能 力 


图 10-1 可 依赖 性 属性 原则 


当然 ， 这 些 可 依赖 性 属性 不 是 对 所 有 系统 都 是 同样 重要 的 。 在 第 1 章 介绍 的 胰岛 素 泵 系 
统 中 ， 最 为 重要 的 属性 是 可 用 性 (在 需要 的 时 候 必须 可 用 ) 和 安全 性 ( 决 不 能 传输 危险 剂量 
的 胰岛 素 )。 在 这 里 ， 信 息 安 全 性 就 不 是 个 问题 了 ， 因 为 泵 不 维护 机 密 信息 ， 也 不 在 网 络 环 
境 下 工作 ， 所 以 不 会 受到 恶意 攻击 。 对 于 野外 气象 系统 ， 可 用 性 和 可 靠 性 是 最 重要 的 特性 ， 
因为 维修 的 费用 是 非常 高 的 。 对 于 病人 信息 系统 ， 信 息 安全 性 和 韧性 是 特别 重要 的 ， 因 为 其 
维护 的 都 是 敏感 的 私人 数据 ， 并 且 这 些 数据 随时 都 可 以 作为 患者 咨询 的 重要 依据 。 

还 有 以 下 一 些 系统 属性 与 5 个 可 依赖 性 属性 密切 相关 ， 而 且 会 影响 系统 的 可 依赖 性 。 

1. 可 维修 性 。 系 统 失效 是 不 可 避免 的 ， 但 是 如 果 系 统 可 以 很 快 修复 的 话 ， 系 统 失效 而 导 
致 的 崩溃 就 可 以 尽量 避免 。 为 了 做 到 这 一 点 ， 就 必须 能 诊断 问题 ， 找 到 失效 的 构件 并 加 以 修 
复 。 当 系统 的 组 织 能 够 获取 软件 源 代码 并 有 修改 代码 的 能 力 时 ， 软 件 的 可 维修 性 会 提高 。 开 
源 软 件 在 这 一 点 上 更 容易 一 些 , 但 是 对 构件 的 复 用 会 使 得 做 到 这 一 点 更 困难 。 

2. 可 维护 性 。 在 系统 使 用 过 程 中 新 需求 会 不 断 出 现 ， 改 变 它 使 之 保持 有 用 性 并 不 断 适应 
新 需求 就 变 得 相当 重要 。 可 维护 软件 能 够 以 低 成 本 的 修改 来 应 对 新 需求 ， 而 且 在 修改 过 程 中 
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引入 新 错误 的 可 能 性 比较 小 。 

3. 容错 。 这 可 以 看 成 是 可 用 性 的 一 部 分 ， 反 映 为 在 多 大 程度 上 系统 的 设计 能 避免 用 户 输 
入 错误 并 在 输入 有 错时 能 够 容忍 错误 的 存在 。 当 用 户 发 生 错 误 时 ， 系 统 应 该 尽量 检测 这 些 错 
误 ， 而 且 要 么 能 够 目 动 修改 错误 要 人 么 请 求 用 户 重 新 输入 数据 。 

系统 可 依赖 性 的 概念 是 作为 一 个 全 面 的 属性 来 介绍 的 ， 因 为 它 的 可 用 性 、 信 息 安全 性 、 
可 靠 性 、 安 全 性 、 韧 性 这 些 属性 都 是 紧密 联系 的 。 安 全 的 系统 运行 通常 需要 系统 是 可 用 的 并 
且 可 靠 地 运行 。 一 个 系统 可 能 由 于 一 个 入侵 者 破坏 了 它 的 数据 而 变 得 不 可 靠 。 对 一 个 系统 的 
拒绝 服务 攻击 其 目的 是 损坏 系统 的 可 用 性 。 如 果 一 个 系统 被 病毒 感染 了 ， 用 户 就 不 可 能 再 对 
它 的 可 靠 性 和 安全 性 有 信心 ， 因 为 病毒 可 能 会 改变 系统 的 行为 。 

为 了 开发 一 个 可 徘 的 软件 ， 你 需要 做 到 |: 

1. 避免 在 软件 规格 说 明和 开发 过 程 中 引入 意外 的 错误 。 

2. 设计 检验 和 确认 (V&V) 过程， 使 之 能 够 有 效 地 发 现 影响 系统 可 靠 性 的 残余 错误 。 

3. 设计 容错 机 制 ， 确 保 出 现 错误 时 系统 仍 能 继续 工作 。 

4. 设计 保护 机 制 防范 能 够 损坏 系统 可 用 性 和 信息 安全 性 的 外 部 攻击 。 

5. 正确 地 配置 和 部 署 系统 及 它 的 支持 软件 ， 以 提供 良好 的 运行 环境 。 

6. 提高 系统 能 力 以 识别 外 部 网 络 攻击 并 抵抗 这 些 攻击 。 

7. 设计 恢复 机 制 来 保证 系统 失效 或 遭受 攻击 时 不 会 丢失 重要 数据 。 

容错 的 需求 意味 着 可 靠 的 系统 必须 包含 见 余 代码 用 以 监视 系统 本 映 ， 探测 错误 状态 ， 并 
且 在 失效 发 生 之 前 从 错误 中 恢复 。 这 会 影响 系统 的 表现 ， 当 每 次 系统 执行 时 都 要 做 额外 检查 。 
因此 ， 设 计 者 总 是 要 在 系统 性 能 和 可 依赖 性 两 者 之 间 做 出 折 中 。 可 能 因为 系统 运行 速度 变 慢 
而 弃 用 系统 检查 。 然 而 ， 随 之 而 来 的 风险 是 ， 由 于 一 些 缺 陷 没有 被 发 现 而 导致 发 生 一 些 失效 。 

因为 额外 的 设计 、 实 现 和 确认 成 本 ， 加 强 系统 可 依赖 性 会 大 大 增加 开发 成 本 。 尤 其 是 对 
于 需要 过 度 可 依赖 性 的 系统 ， 如 安全 性 要 求 极 高 的 控制 系统 ， 验 证 和 确认 ( V&V) 的 成 本 会 
非常 高 。 除 了 需要 检验 系统 是 否 符合 其 需求 定义 
外 ， 还 需要 回 外 部 管理 者 证 明 系 统 是 安全 的 。 例 
如 ， 航 空 硕 系统 必须 加 外 部 管理 者 ， 比 如 国家 航空 
管理 局 ， 证 明 系 统 是 安全 的 ， 影 响 到 飞行 项 的 安全 
的 灾难 性 系统 失效 发 生 的 概率 是 极 低 的 。 成 本 

图 10-2 给 出 了 成 本 和 对 可 依赖 性 渐 增 改善 之 间 
的 关系 。 如 果 软 件 可 依赖 性 不 是 很 高 ， 可 以 通过 更 
好 的 软件 工程 方法 用 较 低 的 代价 显著 提 融 软件 质量 。 


然而 ， 如 果 你 已 经 采用 了 很 好 的 措施 ， 改 进 的 花费 7 a ee E 
将 高 很 多 而 得 到 的 效益 却 比 较 低 。 还 有 一 个 问题 是 可 依赖 性 
测试 你 的 软件 并 证 明 你 的 软件 是 可 靠 的 也 绝 非 易 事 。 图 10-2 成 本 -可 依赖 性 曲线 


解决 这 个 问题 需要 运行 多 次 测试 并 查看 一 定数 量 发 
生 的 错误 。 随 着 软件 可 依赖 性 变 得 更 高 ， 你 将 会 看 到 越 来 越 少 的 失效 。 结 果 ， 需 要 更 多 的 测 
试 并 猜测 你 的 软件 还 有 多 少 问 题 。 测 试 是 非常 昂贵 的 ， 这 急剧 增加 了 高 可 用 性 系统 的 成 本 。 
10.2 ”社会 技术 系统 

在 计算 机 系统 中 ， 软 件 和 硬件 是 相互 依赖 的 。 没 有 硬件 ， 软 件 系 统 就 是 抽象 的 ， 它 仅 
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仅 是 人 的 知识 与 理念 的 一 种 表示 ; 没有 软件 ， 硬 件 只 不 过 是 一 套 没 活力 的 电子 设备 。 但 是 ， 
如 果 将 二 者 放 到 一 起 构成 一 个 系统 ， 就 创造 了 一 个 可 以 进行 复杂 计算 并 给 环境 提供 结果 的 
机 器 。 

这 说 明了 系统 的 基本 特性 之 一 一 一 系统 ， 大 于 其 各 部 分 相 加 之 和 。 系 统 的 一 些 特性 只 有 
在 各 部 分 集成 并 在 一 起 运行 时 才 会 展现 出 来 。 因 此 软件 工程 不 是 一 个 孤立 的 活动 ， 而 是 一 
更 一 般 的 系统 工程 过 程 中 的 固有 组 成 部 分 。 软 件 系统 不 是 独立 的 系统 ， 更 多 的 是 含有 人 、 社 
会 或 组 织 目的 更 广泛 系统 的 基本 成 分 ( 见 第 19 章 )。 

例如 ， 野 外 气象 系统 软件 控制 一 个 气象 站 里 的 工具 。 它 与 其 他 软件 系统 通信 ， 并 且 是 国 
内 及 国际 气象 预报 系统 的 一 部 分 。 和 软 硬 件 一 样 ， 这 些 系 统 包括 天 气 预报 过 程 、 操 作 系 统 及 
分 析 结 果 的 人 员 。 系 统 还 包括 依靠 它 向 个 人 、 政 府 、 企 业 等 提供 天 气 预报 的 组 织 。 这 类 更 广 
泛 的 系统 有 时 也 被 称 作 “社会 技术 系统 ( sociotechnical system)” o RARES TIERRA 
素 ， 如 人 、 流 程 、 规 章 等 ， 以 及 技术 因素 ， 如 计算 机 、 软 件 和 其 他 设备 。 系 统 的 可 依赖 性 取 
决 于 社会 技术 系统 中 的 每 一 个 元 素 一 硬件、 软件、 人 和 组 织 。 

社会 技术 系统 实在 过 于 复杂 ， 以 至 于 我 们 无 法 从 整体 上 直接 理解 它 。 因 此 ， 图 10-3 通 
过 分 层 的 方法 展现 了 它 的 内 部 结构 。 以 下 7 个 层次 组 成 了 社会 技术 系统 栈 。 





系统 工程 软件 工程 
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图 10-3 ”社会 技术 系统 栈 


1. 设备 层 。 这 一 层 由 硬件 设备 组 成 ， 其 中 一 些 部 分 可 能 是 计算 机 。 

2. 操作 系统 层 。 这 一 层 与 硬件 层 交 互 ， 为 系统 中 较 高 层 的 软件 层 提供 一 套 公共 工具 。 

3. 通信 和 数据 管理 层 。 这 一 层 扩展 了 操作 系统 工具 ， 提 供 了 人 允许 与 更 多 扩展 功能 交互 
的 接口 ， 比 如 访问 远程 系统 ， 访 问 系统 数据 库 等 。 因 为 这 一 层 通 常 在 应 用 程序 和 操作 系统 之 
间 ， 有 时 被 称 为 中 间 件 。 

4. 应 用 系统 层 。 这 一 层 提供 所 需 的 特定 应 用 功能 ， 可 能 包含 多 个 不 同 的 应 用 程序 。 

5. 业务 过 程 层 。 利 用 软件 系统 的 组 织 业务 过 程 在 这 一 层 定 义 及 制定 。 

6. 组 织 层 。 这 一 层 包含 更 高 层 的 战略 流程 以 及 业务 规则 、 政 策 和 使 用 系统 时 要 遵循 的 
标准 。 

7. 社会 层 。 这 一 层 定义 了 支配 系统 运作 的 社会 法 律 和 规章 。 

注意 ， 到 这 里 并 没有 独立 的 “软件 层 ”"， 因 为 它 在 社会 技术 系统 中 的 每 一 层 中 都 或 多 或 
少 地 扮演 着 重要 的 角色 。 对 于 骨 入 式 系 统 ， 起 到 控制 作用 的 是 设备 ; 而 对 于 操作 系统 和 应 
用 ， 起 到 控制 作用 的 则 是 软件 。 因 此 ， 业 务 流 程 、 组 织 和 社会 都 依赖 于 互联 网 (软件 ) 以 及 
其 他 全 球 性 的 软件 系统 。 
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原则 上 说 ， 大 多 数 交互 是 在 相 邻 层 进行 的 ， 每 一 层 对 上 一 层 隐藏 下 一 层 的 细节 。 但 实际 
上 并 不 总 是 这 样 ， 有 时 也 存在 跨 层次 间 的 意外 交互 ， 从 而 给 整个 系统 带 来 问题 。 例 如 ， 假 设 
规定 个 人 信息 访问 的 法 律 发 生 了 变化 ， 这 一 点 属于 社会 层 。 它 引发 了 新 的 组 织 程序 和 业务 过 
程 的 变化 。 但 是 ， 应 用 程序 系统 本 身 可 能 不 能 提供 所 需 层次 的 细节 ， 因 此 也 要 在 通信 和 数据 
管理 层 做 出 相应 的 调整 。 

顾全 整个 系统 ， 而 不 是 简单 地 从 孤立 的 软件 角度 来 看 ， 这 对 于 考虑 软件 的 信息 安全 性 
和 可 靠 性 是 非常 必要 的 。 软 件 的 失效 很 少 会 对 它 自身 造成 严重 的 后 果 ， 因 为 软件 是 无 形 的 存 
在 ， 即 便 受 到 损坏 ， 也 可 以 轻而易举 地 修复 。 但 是 ， 当 这 些 软件 的 失效 波及 系统 的 其 他 部 分 
时 ， 它 们 会 影响 软件 的 物理 环境 以 及 人 的 环境 。 此 时 ， 失 效 的 后 果 更 加 严重 。 重 要 的 数据 可 
能 会 丢失 或 损坏 。 人 们 不 得 不 做 额外 的 工作 从 失效 中 恢复 ， 比 如 设备 的 损毁 ， 数 据 的 丢失 和 
损坏 ， 或 者 秘密 泄露 导致 的 未 知 后 果 。 

所 以 ， 当 设计 一 个 对 信息 安全 性 和 可 靠 性 有 要 求 的 软件 时 ， 必 须 从 系统 全 局 观察 ， 了 解 
软件 失效 带 给 系统 中 其 他 部 件 的 后 果 。 此 外 ， 系 统 中 的 其 他 部 件 亦 有 可 能 造成 或 防止 软件 失 
效 ， 以 及 协助 从 软件 失效 中 恢复 。 

最 重要 的 目标 是 确保 当 软 件 发 生 失效 时 ， 不 会 引入 整个 系统 的 失效 。 因 此 必须 检查 软件 
如 何 与 其 直接 环境 进行 交互 来 确保 以 下 两 点 : 

1. 软件 失效 尽 可 能 包含 在 系统 栈 的 封闭 层 中 ， 不 会 对 相 邻 层 的 操作 产生 严重 影响 。 软 件 
失效 不 应 该 导致 系统 失效 。 

2. 理解 系统 栈 的 非 软件 层 错误 和 失效 是 如 何 影响 软件 的 ， 同 时 考虑 怎样 将 检测 点 置信 软 
件 中 ， 从 而 协助 检测 失效 ， 以 及 如 何 提供 对 失效 恢复 的 支持 。 

因为 软件 固有 的 柔性 ， 许 多 预想 不 到 的 问题 同时 也 就 摆 在 了 软件 工程 师 面 前 。 例 如 ， 雷 
达 的 位 置 选择 之 后 可 能 发 现 雷达 图 像 有 扭曲 现象 ， 这 时 通过 移动 雷达 重新 定位 已 经 不 现实 
T, 解决 方案 可 能 就 是 通过 软件 来 增强 雷达 图 像 处 理 能 力 ， 消 除 扭曲 现象 。 这 可 能 又 降低 了 
软件 的 性 能 以 至 于 性 能 变 得 无 法 接受 。 此 时 该 问题 可 能 被 看 成 是 “软件 失效 "， 而 实际 上 这 
是 系统 整体 设计 过 程 上 的 失效 。 

软件 工程 师 必 须 面 对 在 不 准许 提高 硬件 费用 的 前 提 下 增强 软件 能 力 的 问题 ， 这 种 情况 
并 不 少见 。 许 多 所 谓 的 “软件 失效 ”不 是 软件 固有 问题 的 结果 。 这 种 失效 是 尝试 通过 改变 软 
件 以 满足 已 变更 的 系统 工程 需求 的 结果 。 一 个 说 明 这 种 失效 的 最 好 的 例子 是 丹佛 飞机 场 行李 
系统 的 失效 (Swartz 1996 )， 在 那儿 ， 遇 到 了 许多 硬件 设备 上 的 限制 ， 需 要 修改 控制 软件 来 
弥补 。 


10.2.1 规章 与 守 约 


现在 世界 上 几乎 所 有 经 济 组 织 的 普遍 做 法 是 ， 私 有 公司 提供 商品 和 服务 ， 并 从 中 赚 取 利 
润 。 我 们 有 一 个 竞争 环境 ， 这 些 公司 在 成 本 、 质 量 、 交 货 时 间 等 方面 进行 竞争 。 然 而 ， 为 了 
确保 其 公民 的 安全 ， 大 多 数 政 府 限 制 私有 公司 的 自由 ， 强 制 他们 必须 遵守 某 些 标准 ， 以 确保 
他 们 的 产品 是 安全 和 放心 的 。 因 此 ， 公 司 不 能 以 更 低 的 价格 销售 产品 ， 因 为 这 样 做 会 导致 产 
总 的 安全 性 降低 。 

各 国政 府 在 不 同 领域 都 制定 了 一 套 规 则 和 条 例 来 确保 产品 的 安全 性 和 信息 安全 。 他 们 还 
建立 了 监管 组 织 ， 确 保 在 某 一 地 区 的 公司 提供 的 产品 符合 这 些 规则 。 监 管 组 织 拥有 很 高 的 权 
力 ， 如 有 果 有 公司 违反 规定 ， 他 们 可 以 进行 罚款 ， 甚 至 监禁 董事 。 他 们 还 扮演 着 许可 证 授权 方 
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的 角色 (例如 ， 在 航空 业 和 核 工业 )， 为 新 使 用 的 系统 颁发 许可 证 。 因 此 ， 飞 机 制造 商 必 须 
回 购 买方 所 在 国 的 监管 组 织 出 示 适 航 证 书 。 

为 了 获取 认证 ， 开 发 安全 关键 系统 的 公司 必须 制定 一 个 具有 泛 用 性 的 安全 条 例 (在 第 
13 章 中 讨论 )， 表 明 其 已 经 遵守 了 既定 的 规则 和 法 规 ， 并 使 监管 方 相信 系统 可 以 安全 地 运行 。 
开发 这 样 的 安全 条 例 是 非常 昂贵 的 ， 甚 至 用 于 开发 安全 条 例 的 费用 会 与 开发 系统 本 身 的 费用 
相当 。 

规章 和 守 约 (遵守 规则 ) 适用 于 整个 社会 技术 系统 ， 而 不 仅仅 是 适用 于 该 系统 的 软件 部 
分 。 例 如 ， 核 工业 中 的 调节 器 会 时 刻 检测 是 否 存 在 反应 堆 过 热 的 异常 ， 以 确保 它 不 会 将 放 喘 
性 物质 释放 到 环境 中 。 使 监管 组 织 相信 这 种 安全 措施 有 效 的 证 据 是 软件 保护 系统 、 用 于 监测 
反应 堆 堆 世 的 操作 过 程 ， 以 及 包 囊 任何 放射 性 物质 的 外 元 结构 的 完整 性 。 

这 些 元 素 中 的 每 一 个 都 必须 有 上 自己 的 安全 条 例 。 因 此 ， 傈 护 系统 必须 有 一 个 安全 条 例 ， 
证 明 软 件 将 正常 运行 ， 并 按 预期 关闭 核反应 扒 。 总 体 情 况 还 必须 表明 ， 如 果 软 件 保护 系统 发 
生 故 障 ， 则 有 甚 他 不 依赖 软件 的 安全 机 制 被 调用 。 


10.3 ”元 余 和 多 样 性 


任何 系统 中 的 构件 失效 都 是 不 可 避免 的 。 人 们 犯错 误 ， 未 被 发 现 的 软件 错误 导致 不 良 行 
为 ,硬件 也 会 损坏 。 我 们 使 用 一 系列 策略 来 减少 人 为 失效 的 数量 ， 例 如， 在 预计 使 用 寿命 结 
束 之 前 更 换 硬 件 构件 ， 并 使 用 静态 分 析 工 具 检查 软件 。 但 是 ， 我 们 无 法 确定 这 些 将 会 消除 构 
件 失 效 。 因 此 ,我们 应 该 设计 系统 ， 以 使 单个 构件 失效 不 会 导致 整个 系统 失效 。 

实现 和 提高 可 依赖 性 的 策略 依赖 于 元 余 和 多 样 性 。 宛 余 性 意味 着 系统 中 包含 多 余 的 能 力 
可 以 在 系统 失效 的 时 候 发 挥 作 用 。 多 样 性 意味 着 元 余 的 系统 构件 是 属于 不 同 种 类 的 ， 这 样 它 
们 就 很 难以 完全 一 样 的 方式 失效 。 

我 们 使 用 元 余 和 多 样 性 来 增加 我 们 日 常生 活 中 的 可 依赖 性 。 通 常 ， 为 保证 我 们 的 居所 
安全 我 们 通常 使 用 几 道 锁 (TR), HH, 通常 我 们 使 用 不 同 种 类 的 锁 (多 样 性 )。 这 意味 着 
如 果 一 个 人 侵 者 找到 破坏 其 中 一 个 锁 的 方法 ,他们 还 必须 找到 不 同 的 方法 来 破坏 其 他 的 锁 才 
能 进入 。 如 日 常 工 作 一 样 , 我们 应 该 完全 备份 我 们 电脑 中 的 内 容 ， 并 保持 数据 的 多 个 元 余 拷 
贝 。 为 避免 磁盘 失效 的 问题 ， 备 份 应 该 在 单独 的 、 不 同 的 外 部 设备 上 保存 。 

设计 用 来 增强 可 依赖 性 的 软件 系统 可 能 包括 提供 与 系统 中 的 其 他 构件 相同 功能 的 元 余 
构件 。 这 些 构 件 在 主 构件 失效 的 时 候 被 有 选择 地 加 入 系统 。 如 果 这 些 元 余 构 件 是 多 样 的 〈 比 
如 ， 与 其 他 构件 不 同 )， 一 个 普通 的 缺陷 不 会 引起 一 个 有 备份 构件 的 系统 的 失效 。 元 余 性 也 
可 以 通过 包含 附加 的 检查 代码 来 提供 ， 这 些 代码 可 能 并 不 是 直接 对 系统 功能 有 用 。 可 以 在 一 
些 缺 陷 导 致 失效 之 前 探测 到 这 些 代码 。 它 们 可 以 激发 恢复 机 制 工作 以 保证 系统 继续 运行 。 

在 可 用 性 要 求 高 的 系统 中 ， 苑 余 的 服务 常常 被 使 用 。 这 些 服务 在 指定 的 服务 失效 的 时 候 
自动 运行 。 有 时 候 ， 为 保证 攻击 不 能 够 暴露 一 个 稼 见 的 胖 点 ， 这 些 服 务 可 能 属于 不 同 的 尖 型 
并 可 能 在 不 同 的 操作 系统 上 运行 。 使 用 不 同 的 操作 系统 是 软件 多 样 性 和 元 余 的 例子 之 一 ,在 
这 里 相似 的 功能 以 不 同 的 方式 提供 。( 第 12 革 将 详细 讨论 软件 多 样 性 ,) 

多 样 性 和 元 余 可 以 同样 用 于 可 依赖 性 软件 开发 过 程 的 设计 。 可 依赖 性 开发 过 程 要 避 倪 对 
系统 引入 错误 。 在 可 依赖 性 开发 过 程 中 ， 例 如 软件 确认 之 类 的 活动 不 依赖 于 单一 的 工具 或 拉 
术 。 这 增强 了 软件 的 可 依赖 性 ， 因 为 它 降低 了 过 程 失 效 的 机 会 ， 也 就 是 由 于 在 软件 开发 过 程 
中 人 的 错误 导致 的 软件 错误 。 
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© 阿 丽 亚 娜 5 型 火箭 爆炸 


1996 年 ， 欧 洲 航 天 局 的 阿 丽 亚 娜 5 型 火箭 在 其 首次 飞行 开始 37 秒 后 发 生 爆 炸 。 事 件 
是 由 于 软件 系统 失效 造成 的 。 火 前 上 有 个 软件 备份 系统 ， 但 这 个 系统 并 不 具有 多 样 性 ， 所 
以 备份 计算 机 也 以 同样 的 方式 失效 了 5 火箭 和 其 卫星 的 有 效 载荷 全 部 被 摧毁 。 


http://software-engineering-book.com/web/ariane/ 


比如 说 ， 确 认 活 动 可 能 将 程序 测试 、 手 工程 序 检 查 以 及 静态 分 析 作 为 缺陷 查找 技术 。 这 
些 技术 中 的 任何 一 种 都 可 能 找到 其 他 方法 所 遗漏 的 错误 。 另 外 ,， 不同 的 组 员 可 能 负责 一 些 
活动 (比如 ， 程 序 检 查 )。 人 们 用 何 种 方法 处 理工 作 取 决 于 他 们 的 个 性 、 经 验 和 受 教 育 程度 ， 
所 以 这 种 元 余 性 提供 了 对 系统 不 同 的 视角 。 

如 第 11 草 介 绍 的 那样 ， 使 用 软件 的 多 样 性 和 宛 余 会 对 软件 引入 错误 。 多 样 性 和 宛 余 使 
系统 更 加 复杂 并 且 通 稼 难以 理解 。 不 仅仅 因为 需要 编写 更 多 的 代码 并 检查 它们 ， 还 需要 有 附 
加 的 功能 加 入 到 系统 中 来 以 探测 构件 的 失效 并 切换 控制 到 候选 构件 。 这 些 额 外 的 复杂 性 使 程 
序 员 更 容易 犯错 误 ， 且 系统 检查 人 员 更 难以 检查 到 错误 。 

因此 ， 一 些 工程 师 认 为 最 好 避免 软件 元 余 和 多 样 性 。 他 们 的 观点 是 ， 设 计 软 件 要 越 简 
单 越 好 ， 可 以 使 用 极为 严格 的 软件 验证 和 确认 (V & V) 过 程 (Parnas，van Schouwen, and 
Shu 1990 )。 更 多 的 花费 可 以 用 在 验证 和 确认 上 ， 因 为 节省 了 开发 元 余 系 统 构件 的 花费 。 

两 个 方法 都 被 用 在 商业 上 的 安全 关键 系统 中 。 比 如 ， 空 客 340 飞行 控制 系统 硬件 和 软件 
既 多 样 又 元 余 。 波 音 777 的 飞行 控制 软件 是 基于 宛 余 的 硬件 ， 但 每 个 计算 机 都 运行 同样 的 软 
件 ， 这 个 软件 是 得 到 极度 严格 的 确认 的 。 波 音 777 飞行 控制 系统 把 注意 力 集 中 在 简单 性 而 不 
是 元 余 性 上 。 这 两 个 飞行 控制 系统 都 是 可 依赖 的 ， 所 以 很 明显 ， 多 样 性 和 简单 方法 对 于 实现 
可 依赖 性 来 说 都 是 成 功 的 。 








O rennet 


本 章 讨 论 可 依赖 的 开发 过 程 ， 但 是 对 于 系统 的 可 依赖 性 还 有 一 个 同样 重要 的 方面 ， 
那 就 是 系统 的 运行 过 程 。 在 设计 这 些 系 统 的 操作 过 程 中 ， 需 要 考虑 人 的 因素 ， 并 总 是 在 心 
中 牢记 人 在 使 用 系统 时 是 非常 容易 出 错 的 。 设 计 一 个 可 依赖 的 过 程 应 该 避免 人 为 错误 ， 当 
错误 形成 时 ， 软 件 应 该 能 检测 到 此 错误 并 允许 使 用 者 去 改正 错误 。 


http://software-engineering-book.com/web/human-error/ 





10.4 可 依赖 的 过 程 


可 依赖 软件 过 程 是 用 来 开发 可 依赖 软件 的 软件 过 程 。 在 可 依赖 过 程 上 的 投资 的 理由 是 ， 
一 个 好 的 软件 过 程 可 以 使 所 交付 的 软件 包含 更 少 的 错误 ,并 因此 有 更 少 的 执行 时 失效 。 公 司 
使 用 了 可 依赖 过 程 ， 保 证 这 个 过 程 能 得 到 正确 执行 和 文档 化 ， 且 适当 的 开发 技术 用 在 了 关键 
系统 开发 中 。 图 10-4 显示 了 一 些 可 依赖 软件 过 程 的 特性 。 
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对 外 部 管理 者 来 说 ， 应 用 可 依赖 过 程 的 证 据 能 令 他 们 相信 在 软件 开发 中 已 经 使 用 了 最 有 
效 的 软件 工程 实践 。 系 统 开发 人 员 也 将 定期 拿 出 一 个 过 程 模型 以 及 过 程 被 遵循 的 证 据 给 管理 
者 看 。 要 使 管理 者 相信 所 有 参与 者 都 一 致 地 使 用 这 个 过 程 ， 并 且 该 过 程 可 以 被 用 在 不 同 的 开 
发 项 目 中 。 这 意味 着 过 程 必须 被 明确 地 定义 并 且 是 可 重 现 的 。 

1. 明确 定义 的 过 程 就 是 用 已 定义 的 过 程 模型 来 驱动 软件 生产 过 程 。 在 过 程 中 必须 被 收集 
的 数据 说 明 开 发 团队 遵循 了 过 程 模型 中 定义 的 过 程 。 

2. 可 重复 的 过 程 是 一 个 不 依赖 于 个 别 解释 和 判断 的 过 程 。 此 过 程 可 以 在 各 个 项 目 中 重 
复 使 用 ， 并 且 在 不 同 的 团队 人 员 中 使 用 ,不 论 谁 在 开发 团队 中 。 这 对 于 关键 系统 是 特别 重要 
的 ， 因 为 这 样 的 系统 通常 有 一 个 很 长 的 开发 周期 ,并且 在 这 个 周期 中 开发 小 组 的 成 员 会 经 党 
发 生变 动 。 

可 依赖 过 程 利用 元 余 和 多 样 性 来 获得 可 徘 性 。 可 依赖 过 程 经 弟 包 含 相同 目标 的 不 同 活 
动 。 比 如 ， 程 序 审查 和 测试 的 目标 是 发 现 程 序 中 的 错误 。 这 些 方法 是 相互 补充 的 ， 同 时 采用 
两 种 技术 可 能 比 只 使 用 一 种 技术 能 发 现 更 多 的 错误 。 


过 程 应 该 是 能 够 被 外 部 人 员 理 解 的 ， 外 部 人 员 会 检查 过 程 标准 是 否 得 到 遵守 ， 并 给 
出 过 程 改 善 的 若干 意见 和 建议 





图 10-4 可 依赖 过 程 的 属性 


这 些 活动 用 在 可 依赖 性 过 程 中 显然 依赖 于 所 开发 的 软件 的 种 类 。 然 而 总 的 来 说 ， 这 些 活 
动 应 该 相互 协调 以 防止 在 系统 中 引入 新 的 错误 ， 探 测 并 移 除 错误 ， 同 时 维护 过 程 本 身 的 信息 。 

在 一 个 可 依赖 的 过 程 中 可 能 包括 的 活动 有 以 下 这 些 。 

1. 需求 评审 ， 尽 可 能 地 检查 需求 的 完备 性 和 一 致 性 。 

2. 需求 管理 ， 保 证 需求 的 变更 是 受 控制 的 ， 并且 所 有 的 受到 变更 影响 的 程序 员 都 能 够 了 
解 所 提出 的 需求 变更 的 影响 。 

3. 形式 化 规格 说 明 ， 创 建 并 且 分 析 软 件 的 数学 模型 (在 10.5 节 讨 论 了 形式 化 规格 说 明 
的 益处 )。 可 能 它 最 重要 的 益处 是 它 对 系统 需求 施加 一 个 非常 详细 的 分 析 。 这 个 分 析 本 号 可 
以 用 来 发 现 可 能 在 需求 评审 阶段 被 忽略 的 需求 问题 。 

4. 系统 建 模 ， 也 就 是 用 一 组 图 形 化 的 模型 清晰 地 记录 软件 设计 ， 并 且 需 求 和 这 些 模型 之 
间 的 联系 也 被 清晰 地 记录 下 来 。 如 果 使 用 了 模型 驱动 的 工程 方法 ( 见 第 5 章 )， 代 码 可 能 通 
过 这 些 模型 自动 生成 。 

5. 设计 和 程序 审查 ， 让 不 同 的 人 分 别 检查 系统 不 同 的 描述 部 分 。 通 党 是 依据 普遍 性 的 设 
计 和 编程 错误 清单 进行 审查 的 。 常 见 设 计 和 编程 错误 的 清单 可 能 对 审查 过 程 很 有 帮助 。 

6. 静态 分 析 ， 就 是 对 程序 的 源 代 码 进 行 自动 检查 。 查 找 那些 可 能 指示 程序 错误 或 疏忽 的 
异常 (第 12 章 将 讨论 静态 分 析 ) 。 

7. 测试 规划 和 管理 ， 即 设计 一 系列 全 面 的 系统 测试 。 必 须 很 小 心地 管理 测试 过 程 ， 证 明 
这 些 测试 已 经 覆盖 了 系统 需求 并 且 在 测试 过 程 中 得 到 正确 的 应 用 。 
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如 同 聚 焦 系 统 开 发 和 测试 的 过 程 活动 ， 我 们 还 必须 有 完善 定义 的 质量 管理 和 变更 管理 过 
程 。 尽 管 一 家 公司 的 可 依赖 性 过 程 中 的 特殊 活动 可 能 与 男 一 家 公司 不 同 ， 对 有 效 的 质量 管理 
和 变更 管理 的 需要 是 一 致 的 。 

质量 管理 过 程 (将 在 第 24 章 讨 论 ) 建立 了 一 系列 过 程 和 产品 标准 。 它 们 还 包括 捕捉 过 
程 信息 的 活动 以 证 明 这 些 标准 被 遵循 了 ,比如 ， 可 能 存在 一 个 标准 ， 它 被 定义 来 执行 程序 审 
查 。 审 查 小 组 的 组 长 负责 记录 过 程 以 说 明 审 查 标准 一 直 是 得 到 遵循 的 。 

在 第 25 章 讨论 的 变更 管理 是 关于 管理 系统 的 变更 ,确保 一 个 接受 的 变更 能 够 真正 实现 ， 
并 肯定 所 计划 的 发 行 版 本 中 包含 了 这 些 计划 中 的 变更 。 一 个 通常 出 现 的 软件 问题 是 在 一 个 系 
统 中 包含 了 一 个 错误 的 构件 。 这 可 以 导致 一 种 情况 的 发 生 ， 即 一 个 执行 系统 中 包含 在 开发 过 
程 中 未 经 检查 的 构件 。 配 置 管理 过 程 必须 定义 为 变更 管理 过 程 的 一 部 分 ， 以 保证 此 类 事件 不 
会 发 生 。 

敏捷 方法 被 越 来 越 多 地 使 用 ， 俩 究 者 和 实践 者 都 在 考虑 如 何在 可 依赖 软件 开发 中 应 用 繁 
捷 方 法 (Trimble 2012 )。 大 多 数 开发 关键 软件 系统 的 公司 有 基于 日 喘 的 有 计划 的 开发 过 程 ， 
他 们 都 不 愿 对 开发 过 程 进行 彻底 的 改变 。 但 是 这 些 公司 认识 到 了 敏捷 开发 的 价值 ， 并 在 探索 
如 何 把 目 身 的 开发 过 程 变 得 敏捷 。 

验证 可 依赖 软件 需要 过 程 和 产品 的 文档 化 ， 同 时 还 需要 预先 进行 需求 分 析 来 发 现 可 能 危 
害 到 系统 安全 的 需求 和 需求 冲突 。 正 式 的 变更 分 析 对 评估 变更 对 系统 安全 性 和 完整 性 的 影 啊 
至 关 重 要 。 这 些 要 求 与 敏捷 开发 中 共同 开发 需求 和 系统 的 一 般 方 法 以 及 最 小 化 文档 相 冲 突 。 

尽管 大 多 数 敏 捷 开 发 过 程 使 用 非 正 式 的 且 无 须 文 档 化 的 过 程 ， 但 这 不 是 敏捷 的 根本 需 
求 。 敏 捷 过 程 包含 例如 迭代 开发 ， 测 试 优先 开发 和 在 用 户 开 发 团队 中 的 参与 的 技术 。 只 要 一 
个 团队 遵循 这 个 过 程 并 记录 了 他 们 的 活动 ， 敏 捷 方 法 就 可 以 被 使 用 。 为 了 文 持 这 个 观点 ， 已 
经 提出 了 各 种 包含 可 依赖 系统 开发 需求 的 改进 的 敏捷 方法 建议 (Douglass 2013 )， 把 敏捷 开 
发 和 基于 计划 开发 中 的 最 合适 的 技术 连接 了 起 来 。 


10.5 ”形式 化 方法 与 可 依赖 性 


30 多 年 来 ， 人 研究 者 提出 了 使 用 形式 化 方法 来 进行 软件 开发 。 形 式 化 方法 是 基于 数学 的 
软件 开发 方法 ， 其 中 需要 定义 软件 的 形式 化 模型 。 接 着 可 以 形式 化 地 分 析 这 些 模 型 来 找到 错 
误 和 不 一 致 的 地 方 ， 从 而 证 明 程序 与 模型 一 致 。 或 对 这 个 模型 应 用 一 系列 保持 正确 性 的 变换 
来 生成 程序 。Abril (Abril 2009 ) 声称 使 用 形式 化 方法 可 以 产生 “无 错误 的 系统 ”， 虽 然 他 很 
小 心地 限定 了 他 在 声明 中 的 意思 。 

在 一 份 调查 中 ，Woodcock 等 人 (Woodcock et al. 2009) 讨论 了 已 经 成 功 应 用 形式 化 方 
法 的 工业 应 用 。 这 些 应 用 包括 列车 控制 系统 (Badeau and Amelot 2005 )， 刷 卡 系统 (Hall and 
Chapman 2002 ) 和 飞行 控制 系统 (Miller et al. 2005 )。 形式 化 方法 是 静态 验证 中 使 用 的 工具 
的 基础 ， 例 如 微软 使 用 的 驱动 程序 验证 系统 (Ball et al. 2006 ) 。 

在 计算 机 科学 发 展 的 早期 阶段 提出 了 使 用 数学 形式 化 方法 进行 软件 开发 。 这 个 想法 是 指 
形式 化 规格 说 明和 程序 可 以 独立 开发 ， 然 后 开发 一 个 数学 证 明 来 表明 程序 及 其 规格 说 明 是 一 
致 的 。 最 初 ， 证 明 是 人 工 开 发 的 ， 但 这 是 一 个 漫长 而 昂贵 的 过 程 。 人 们 很 快 发 现 人 工 证 明 应 
用 于 非常 小 的 系统 。 现 在 很 多 自动 定理 证 明 软 件 文 持 程序 验证 ， 这 意味 着 更 大 的 系统 是 可 以 ， 
被 证 明 的 。 然 而 ， 开 发 定理 证 明 者 的 证 明 义 务 是 一 个 困难 且 专 业 的 任务 ， 因 此 形式 化 验证 没 
有 被 广泛 使 用 。 
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避免 单独 的 证 明 活动 的 可 替代 方法 是 基于 精 化 的 开发 。 这 里 ， 系 统 的 形式 化 规格 说 明 
通过 一 系列 保持 正确 性 的 变换 被 改进 ， 从 而 生成 软件 。 因 为 这 些 是 可 靠 的 变换 ， 所 以 可 以 确 
信 生 成 的 程序 与 其 形式 化 规格 说 明 一 致 。 这 是 巴黎 地 铁 系 统 软件 开发 中 使 用 的 方法 (Badeau 
and Amelot 2005 )， 它 使 用 一 种 所 谓 的 B 语言 (Abrial 2010 )， 该 语言 则 在 支持 对 规格 说 明 的 
精 化 。 

基于 模型 检查 的 形式 化 方法 (Jhala and Majumdar 2009 ) 已 被 用 于 大 量 的 系统 中 (Bochot 
et al. 2009; Calinescu and Kwiatkowska 2009 )。 这 些 系统 依赖 于 构建 或 生成 系统 的 形式 化 状 
态 模 型 ， 并 且 使 用 模型 检查 器 来 确认 一 直 维 持 模 型 的 属性 (例如 安全 属性 )。 模 型 检查 程序 
详细 地 分 析 形 式 化 规格 说 明 ， 并 且 检 查 程序 会 报告 系统 属性 通过 模型 被 满足 ， 或 者 展示 出 不 
满足 的 示例 。 如 果 模 型 可 以 从 程序 中 上 自动 或 系统 地 生成 ， 这 意味 着 程序 中 的 错误 。( 在 第 12 
草 讨 论 安 全 关键 系统 中 的 模型 检查 )。 







O 形式 化 规格 说 明 技术 
形式 化 规格 说 明 可 以 采用 两 种 基本 方法 表达 : 一 是 用 系统 界面 模型 (代数 规格 说 明 ) ; 
二 是 用 系统 状态 模型 。 读 者 可 以 下 载 一 个 额外 的 网 上 关于 此 话题 的 一 章 内 容 ， 其 中 给 出 了 
两 种 方法 的 例子 。 在 那 一 章 中 包含 胰岛 素 泵 系统 的 一 部 分 的 形式 化 规格 说 明 。 

http://software-engineering-book.com/web/formal-methods/ (在 线 章 节 ) 







软件 工程 的 形式 化 方法 对 于 发 现 或 避免 以 下 两 类 软件 表示 的 错误 是 有 效 的 。 

1. 规格 说 明和 设计 中 的 错误 和 遗漏 。 开 发 和 分 析 软 件 的 形式 化 模型 的 过 程 中 ， 可 能 揭示 
软件 需求 中 的 错误 和 遗漏 。 如 果 从 源 代码 目 动 或 系统 地 生成 模型 ， 则 使 用 模型 检查 的 分 析 可 
以 发 现 可 能 发 生 的 不 期 望 的 状态 ， 例 如 ， 并 发 系统 中 的 死 锁 。 

2. 规格 说 明和 程序 间 的 不 一 致 。 如 果 使 用 精 化 方法 ， 可 以 避免 出 现 开发 者 使 软件 与 规格 
说 明 不 一 致 的 错误 。 程 序 验证 可 以 发 现 程序 与 其 规格 说 明之 间 的 不 一 致 。 

所 有 形式 化 方法 都 开始 于 一 个 数学 系统 模型 ， 把 它 作为 系统 的 规格 说 明 。 为 了 建立 这 个 
模型 ， 需 要 将 自然 的 语言 、 图 和 表格 等 表述 的 用 户 需 求 翻译 成 其 他 形式 化 定义 语义 的 机 需 语 
言 。 形 式 化 规格 说 明 是 对 系统 应 该 做 什么 的 一 个 无 二 义 的 描述 。 

形式 化 规格 说 明 对 于 设计 的 证 明和 软件 的 实现 不 仅仅 是 必 不 可 少 的 ， 还 是 定义 系统 最 
精确 的 方式 ， 减 少 了 误解 的 可 能 。 许 多 形式 化 方法 的 支持 者 相信 ， 创 建 形式 化 规格 说 明 是 值 
得 的 ， 即 使 没有 精 化 或 程序 证 明 。 另 外 ， 构 造 一 个 形式 化 的 规格 说 明 需 要 一 个 细致 的 需求 分 
析 ， 而 这 又 是 一 个 发 现 需求 存在 的 问题 的 有 效 方法 。 在 一 个 目 然 语 言 规格 说 明 中 ， 错 误 可 能 
被 不 精确 的 霹 言 所 掩盖 ， 而 在 使 用 了 形式 化 规格 说 明 的 系统 中 不 会 出 现 这 样 的 问题 。 

开发 形式 化 规格 说 明 并 将 其 用 于 一 个 形式 化 开发 过 程 的 优势 包括 下 面 这 些 。 

1. 当 详 细 地 开发 一 个 形式 化 规格 说 明 的 时 候 ， 对 系统 需求 获得 了 深度 细致 的 理解 。 改 正 
早期 发 现 的 需求 问题 通常 比 在 晚 一 些 的 开发 过 程 中 修改 它们 代价 相对 要 小 很 多 。 

2. 因为 规格 说 明 是 用 一 种 带 有 形式 定义 语义 的 语言 来 表达 的 ， 因 此 可 以 自动 地 分 析 它 来 
发 现 其 中 的 不 一 致 和 不 完整 之 处 。 

3. 如 果 你 使 用 一 个 方法 (比如 B 方法 )， 你 可 以 使 用 一 系列 正确 性 保持 变换 将 形式 化 规 
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格 说 明 转 换 成 程序 。 这 样 其 结果 程序 可 以 保证 与 规格 说 明 是 一 致 的 。 

4. 程序 测试 的 花费 可 能 会 降低 ， 因 为 你 已 经 根据 规格 说 明 验 证 了 程序 。 例 如 ， 在 开发 巴 
黎 地 铁 系统 软件 时 ， 精 细 化 意味 着 不 需要 软件 构件 测试 ， 只 需要 进行 系统 测试 。 

Woodcock 调查 ( Woodcock et al. 2009 ) 发 现 ， 使 用 形式 化 方法 的 人 在 交付 的 软件 中 产 
生 的 错误 更 少 ， 且 在 可 比较 的 开发 项 目 中 ， 软 件 开 发 所 需 的 成 本 和 时 间 更 少 。 在 需要 监管 组 
织 认证 的 安全 关键 系统 中 使 用 形式 化 方法 有 显著 的 好 处 。 所 生成 的 文档 是 系统 安全 条 例 的 重 
要 组 成 部 分 (参见 第 12 BE). 

尽管 有 这 些 优点 ， 形 式 化 方法 在 实际 软件 开发 中 的 影响 有 限 ， 即 使 对 于 关键 系统 也 是 如 
此 。Woodcock 研究 了 25 年 中 使 用 形式 化 方法 的 62 个 项 目 。 即 使 考虑 到 了 使 用 这 些 技术 但 
没有 报告 其 使 用 的 项 目 ， 这 仍 是 当时 开发 的 关键 系统 总 数 中 的 一 小 部 分 。 工 业 一 直 不 愿 采 用 
形式 化 方法 ， 原 因 如 下 。 

1. 提出 问题 的 人 和 领域 专家 不 能 理解 形式 化 规格 说 明 ， 所 以 他 们 不 能 检查 形式 化 规格 说 
明 是 否 能 表达 他 们 的 需求 。 软 件 工 程 师 理 解 形式 化 规格 说 明 ， 但 是 却 可 能 不 了 解 应 用 领域 ， 
所 以 他 们 同样 不 能 确定 形式 化 规格 说 明 是 否 是 系统 需求 的 精确 反映 。 

2. 对 创建 一 个 形式 化 规格 说 明 的 花费 是 很 容易 量化 的 ， 但 是 评估 因 使 用 它 所 带 来 的 成 本 
节余 就 要 困难 得 多 。 结 果 ， 管 理 者 不 愿意 骨 风 险 来 采用 形式 化 方法 。 总 的 来 说 ， 他 们 不 相信 
成 功 的 报告 ， 因 为 这 些 报告 来 自 开 发 者 提倡 形式 化 方法 的 特殊 项 目 。 

3. 多 数 的 软件 工程 师 没 有 受过 形式 化 规格 说 明 语 言 的 训练 。 这 样 ， 他 们 也 就 不 愿意 在 开 
发 过 程 中 提议 使 用 这 个 方法 。 

4. 很 难 将 现 有 方法 扩展 到 一 个 很 大 的 系统 中 。 当 使 用 形式 化 方法 时 ， 最 通常 的 做 法 是 只 
对 关键 核心 软件 进行 形式 规格 说 明 ， 而 不 是 对 整个 系统 使 用 此 方法 。 

5. 对 形式 化 方法 的 工具 支持 有 限 ， 可 用 的 工具 往往 开源 旦 难以 使 用 。 对 于 商业 化 工具 提 
供 商 来 说 市 场 太 小 。 

6. 形式 化 方法 与 程序 逐步 开发 的 敏捷 开发 不 相 容 。 但 这 不 是 一 个 主要 问题 ， iiai 
关键 系统 仍然 是 使 用 基于 计划 的 方法 开发 的 。 

早期 倡导 形式 化 开发 的 Parnas 批评 了 当前 的 形式 化 方法 ， 并 声称 这 些 方法 从 一 个 根本 
错误 的 前 提 开 始 (Parnas 2010 )。 他 认为 ， 这 些 方 法 将 不 会 被 接受 ， 直 到 它们 被 彻底 简化 ， 
这 将 需要 不 同类 型 的 数学 作为 基础 。 本 书 的 观点 是 ， 这 并 不 意味 着 形式 化 方法 被 常规 地 用 于 
关键 系统 工程 ， 除 非 能 够 清楚 地 证 明 与 其 他 软件 工程 方法 相 比 ， 其 采用 和 使 用 是 合算 的 。 


RA 


e 系统 可 依赖 性 很 重要 ， 因 为 关键 计算 机 系统 的 故障 可 能 导致 巨大 的 经 济 损失 ， 严 重 
的 信息 丢失 ， 物 理 损坏 或 对 人 类 生命 产生 威胁 。 

o 计算 机 系统 的 可 依赖 性 是 反映 用 户 对 系统 的 信任 程度 的 系统 属性 。 可 依赖 性 的 最 重 
要 的 维度 是 可 用 性 、 可 靠 性 、 安 全 性 、 信 息 安 全 性 和 和 韧性 。 

© 社会 技术 系统 包括 计算 机 硬件 、 软 件 和 人 ， 并 且 位 于 组 织 旨 在 支持 组 织 或 业务 
目标 。 

e 如 果 要 最 小 化 系统 中 的 故障 ， 使 用 可 依赖 的 、 可 重复 的 过 程 是 必要 的 。 该 过 程 应 包 ， 
括 从 需求 定义 到 系统 实现 的 所 有 阶段 的 验证 和 确认 活动 。 

o 在 便 件 、 软 件 过 程 和 软件 系统 中 使 用 元 余 和 多 样 性 对 于 可 靠 系统 的 开发 是 至 关 重 
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要 的 。 | 

。 形式 化 方法 使 用 系统 的 形式 化 模型 作为 开发 的 基础 ， 有 助 于 减少 系统 的 规格 说 明和 
实现 中 错误 的 数量 。 然 而 ， 出 于 对 这 种 方法 的 成 本 效益 的 担心 ,形式 化 方法 在 工业 
中 的 使 用 有 限 。 


阅读 推荐 

《 Basic Concepts and Taxonomy of Dependable and Secure Computing 》 这 项 工作 提出 
了 一 些 可 依赖 性 概念 的 深入 讨论 ， 这 些 概念 是 由 负责 开发 它们 的 一 些 先驱 者 编写 的 。( A. 
Avizienis, J. -C. Laprie, B. Randell ĤI C. Landwehr. IEEE Transactions on Dependable and 
Secure Computing, 1 (1), 2004 ) http://dx.doi.org/10.1109/TDSC.2004.2 

《 Formal Methods: Practice and Experience 》 是 一 个 对 工业 界 中 形式 化 方法 的 使 用 的 一 个 
很 好 的 调查 ， 包 含 一 些 使 用 形式 化 方法 的 项 目的 规格 说 明 。 作 者 总 结 了 使 用 这 些 形式 化 方法 
的 障碍 。( J. Woodcock, P. G. Larsen, J. Bicarregui, and J. Fitzgerald. Computing Surveys, 
41 (1) January 2009 ) http://dx.doi.org/10.1145/ 1592434.1592436 

« The LSCITS Socio-technical Systems Handbook 》 这 本 手册 以 简单 易 懂 的 方式 介绍 社会 
技术 系统 ， 并 提供 了 关于 社会 技术 主题 的 更 详细 的 论文 。( 2012 ) http://archive.cs.st-andrews. 
ac.uk/STSE-Handbook/ 


网 站 

本 章 的 PPT: http://software-engineering-book.com/slides/chap10/ 

支持 视频 的 链接 : http://software-engineering-book.com/videos/critical-ystems/ 
练习 


10.1 给 出 软件 可 依赖 性 对 于 大 多 数 社会 技术 系统 十 分 重要 的 6 个 理由 。 
10.2 ”什么 是 系统 可 依赖 性 中 最 重要 的 方面 ? 
10.3 ”举例 解释 为 什么 在 开发 可 依赖 的 系统 时 需 将 其 视 为 社会 技术 系统 ， 而 不 能 简单 地 将 其 


看 作 技 术 软 件 和 硬件 系统 。 
10.4 人 举 两 个 由 复杂 社会 技术 系统 支持 的 政府 职能 的 例子 ， 并 解释 为 什么 在 可 预见 的 未 来 这 
些 职能 不 能 完全 目 动 化 。 


10.5 解释 元 余 和 多 样 性 的 不 同 之 处 。 

10.6 为 什么 假设 使 用 可 依赖 的 过 程 可 以 创建 可 依赖 的 软件 是 合理 的 ? 

10.7 举 两 个 可 以 归 入 可 依赖 过 程 的 多 样 性 、 宛 余 的 活动 的 例子 。 

10.8 给 出 基于 软件 多 样 性 的 不 同 版 本 的 系统 可 能 以 类 似 的 方式 失效 的 两 个 原因 。 

10.9 ”你 是 一 名 负责 开发 小 型 、 安 全 关键 的 列车 控制 系统 的 工程 师 ， 该 系统 必须 具有 安全 性 
和 信息 安全 性 。 你 建议 在 这 个 系统 的 开发 中 使 用 形式 化 方法 ， 但 你 的 经 理 对 这 种 方法 
持 怀 疑 态 度 。 撰 写 一 份 报告 ， 展 现形 式 化 方法 的 好 处 ， 并 提出 一 个 供 他 们 在 本 项 目 中 
使 用 的 条 例 。 

10.10 有 人 认为 监管 的 必要 性 阻碍 了 创新 ， 并 且 监 管 组 织 强制 使 用 在 其 他 系统 上 使 用 过 的 
旧 的 系统 开发 方法 。 讨 论 你 是 否认 为 这 是 真 的 ， 监 管 组 织 对 于 应 该 使 用 什么 方法 强 
加 自己 的 观点 是 否 可 取 。 
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可 笔 性 工程 





目标 

本 章 的 目标 是 介绍 如 何 刻画 、 实 现 和 度量 软件 的 可 靠 性 。 阅 读 完 本 章 后 ， 你 将 ; 

o 理解 软件 可 靠 性 和 软件 可 用 性 的 区 别 ; 

e 了 解 用 于 可 靠 性 规格 说 明 的 度量 ,以 及 如 何 用 这 些 度量 去 刻画 可 度量 的 可 靠 性 需求 ; 

o 理解 如 何 使 用 不 同 的 体系 结构 风格 去 实现 可 靠 的 、 容 错 的 系统 体系 结构 ; 

o 了 解 可 靠 性 软件 工程 中 好 的 编程 实践 ; 

e 理解 如 何 用 统计 测试 去 衡量 一 个 软件 系统 的 可 靠 性 。 

我 们 的 业务 和 个 人 生活 的 所 有 方面 几乎 都 依赖 于 软件 系统 。 这 意味 着 当 我 们 需要 软 
件 时 ， 我 们 希望 它 是 可 用 的 。 这 种 依赖 可 能 是 在 周末 或 假期 的 清晨 或 深夜 ， 软 件 必须 天 天 
运行 ， 一 年 到 头 每 一 天 都 必须 如 此 。 我 们 和 希望 软件 运行 时 不 会 崩溃 或 者 发 生 失 效 ， 同 时 能 
保护 我 们 的 数据 和 个 人 信息 。 我 们 要 能 够 信任 我 们 所 使 用 的 软件 ， 这 意味 着 软件 必须 是 可 
靠 的 。 

在 过 去 的 20 年 中 ， 软 件 工程 技术 的 使 用 、 更 好 的 程序 设计 语言 、 有 效 的 质量 管理 已 经 
使 软件 可 靠 性 得 到 了 显著 提高 。 然 而 ， 系 统 失效 依然 出 现 ， 这 些 故 障 影响 系统 可 用 性 或 导致 
了 不 正确 结果 的 产生 。 在 软件 扮演 着 关键 性 角色 的 情景 下 ， 也 许 在 航天 飞机 里 或 者 作为 国家 
关键 基础 设施 的 一 部 分 ， 专 用 的 可 靠 性 工程 技术 可 能 用 于 实现 我 们 所 需要 的 高 等 级 的 软件 可 
靠 性 和 可 用 人 性。 

然而 ， 在 谈 到 系统 可 靠 性 时 很 容易 感到 困惑 ， 因 为 对 系统 故障 和 失效 不 同 的 人 有 不 同 的 
说 法 。Brian Randell 是 软件 可 靠 性 的 先驱 ， 他 定义 了 一 个 基于 以 下 概念 的 “故障 (fault) - 
错误 (error) - 失效 ( failure)” 模 型 ( Randell 2000 )， 即 人 为 错误 导致 系统 故障 ， 系 统 故障 
导致 系统 错误 ， 系 统 错误 导致 系统 失效 。 他 准确 地 定义 了 人 为 错误 、 系 统 故 障 、 系 统 错误 、 
系统 失效 这 些 术 语 。 

1. 人 为 错误 。 所 有 导致 在 系统 中 引 和 人 故障 的 人 的 行为 。 例 如 ， 在 野外 气象 系统 中 ， 程 序 
员 可 能 决定 计算 下 一 次 传输 数据 的 时 间 为 当前 时 间 加 1 小 时 。 当 传输 数据 的 时 间 在 23:00 和 
午夜 (午夜 时 间 为 00:00， 对 于 24 小 时 制 ) 之 间 时 ， 这 种 计算 就 会 出 错 。 

2. 系统 故障 。 可 以 导致 系统 出 错 的 软件 系统 特性 。 在 上 面 的 例子 中 ， 故 障 出 现在 以 下 代 
fi; 变量 Transmission time 加 1。 这 段 代 码 没 有 检查 该 变量 的 值 是 否 大 于 或 等 于 23:00. 

3. 系统 错误 。 一 个 错误 的 系统 状态 ， 能 够 导致 系统 行为 完全 超出 系统 用 户 预期 。 当 故障 
代码 被 执行 时 ， 传 输 数 据 时 刻 的 值 设置 得 不 正确 (应 该 为 24: x x ， 而 不 是 00:x x )。 

4. 系统 失效 。 在 某 一 时 刻 所 发 生 的 事件 ， 系 统 不 能 提供 一 个 用 户 所 期 待 的 服务 。 在 这 个 
子 中 ， 没 有 气象 数据 传 出 ， 因 为 时 间 是 无 效 的 。 

系统 故障 不 会 必然 导致 系统 错误 ， 并 且 系 统 错误 不 一 定 导 致 系统 失效 。 见 如 下 几 种 
情况 。 
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L 不 是 程序 中 所 有 的 代码 都 会 执行 。 包 含 故障 的 代码 (比如 ， 初 始 化 一 个 变量 的 失败 ) 
可 能 因 软 件 使 用 的 方式 等 原因 永远 不 会 被 执行 。 

2. 错误 是 短暂 的 。 一 个 状态 变量 可 能 由 于 故障 代码 的 执行 产生 一 个 不 正确 的 值 。 然 而 ， 
在 这 个 变量 被 访问 并 导致 系统 失效 之 前 ， 其 他 的 系统 输入 可 能 已 经 被 处 理 ， 而 此 事件 会 重 置 
这 个 状态 变量 为 一 个 有 效 值 。 

3. 系统 可 能 拥有 故障 探测 和 保护 机 制 。 这 些 机 制 确 保 在 系统 服务 被 影响 之 前 发 现 错误 行 
为 并 进行 改正 。 

故障 不 一 定 会 引起 系统 失效 的 另 一 个 原因 是 ， 在 实践 中 ， 用 户 会 调整 行为 以 避免 使 用 他 
们 知道 会 产生 程序 失效 的 输入 。 有 经 验 的 用 户 会 依据 他 们 的 经 验 避 开 不 可 靠 的 软件 特征 。 例 
如 ， 在 有 些 人 使 用 的 文字 处 理 系 统 中 ,会 避 开 使 用 诸如 自动 编号 的 软件 功能 ， 因 为 用 户 的 经 
验 是 : 自动 编号 经 常会 出 错 。 修 复 不 使 用 的 功能 中 的 故障 不 会 改变 系统 可 靠 性 。 

故障 、 错 误 和 失效 之 间 的 差别 ， 帮 助 我 们 找 出 3 个 可 以 用 于 改善 系统 可 徘 性 的 辅助 
方法 : 

1. 故障 避免 。 在 系统 的 设计 和 实现 过 程 中 使 用 一 些 软件 开发 方法 来 减少 编程 故障 发 生 ， 
并 在 系统 投入 使 用 之 前 发 现 系统 中 的 故障 。 更 少 的 故障 意味 着 更 少 的 运行 时 失效 的 机 会 。 故 
障 避 免 技 术 包括 使 用 强 类 型 的 程序 设计 语言 以 允许 全 面 的 编译 器 检查 和 尽量 不 要 使 用 容易 出 
错 的 程序 设计 语言 元 素 ,〈 例 如 指针 )。 

2. 故障 检测 和 修复 。 在 部 署 使 用 之 前 进行 验证 和 确认 (V&V) 来 发 现 和 去 除 程序 中 的 故 
障 。 关 键 性 系统 需要 广泛 的 验证 和 确认 过 程 ， 以 便 在 部 署 之 前 发 现 尽 可 能 多 的 故障 ， 并 且 令 
系统 的 拥有 者 和 管理 者 确信 系统 是 可 依赖 的 。 系 统 化 的 测试 和 调试 以 及 静态 分 析 是 故障 检测 
技术 的 实例 。 

3. 容错 。 系 统 应 该 设计 成 具备 容错 能 力 的 ， 即 系统 的 故障 及 无 法 预期 的 系统 行为 在 执行 
时 能 够 得 到 检测 和 管理 ， 避 免 导致 系统 失效 。 在 所 有 的 系统 中 都 应 该 包含 一 种 基于 内 骸 的 运 
行 时 检测 的 容错 方法 。 更 多 的 特定 容错 技术 ， 比 如 在 11.3 节 中 介绍 的 容错 系统 体系 结构 的 
使 用 ,通常 来 说 只 用 在 那些 需要 非常 高 级 别 可 用 性 和 可 靠 性 的 系统 中 。 

不 幸 的 是 ， 应 用 错误 避免 、 错 误 检 测 和 容 
错 技术 并 非 总 是 成 本 - 效益 合算 的 。 发 现 和 清除 
软件 系统 中 的 残余 故障 的 成 本 呈 指 数 增加 ( 见 图 
11-1 )。 当 软件 越 来 越 可 靠 时 ， 用 于 查找 越 来 越 
少 的 故障 所 耗 的 时 间 和 精力 将 会 越 来 越 多 。 在 某 
个 阶段 ， 这 些 额 外 花费 是 不 合理 的 。 

因此 ， 软 件 开发 企业 默认 他 们 的 软件 存在 一 
些 残余 故障 。 人 允许 的 故障 水 平 依赖 于 系统 类 型 。 
软件 产品 允许 相对 较 高 的 故障 水 平 ， 而 关键 系统 。 gz ee =F 
通常 要 求 极 低 的 故障 密度 。 残余 错误 数量 

可 以 接受 的 故障 的 基本 原则 是 ， 当 系统 失效 图 11-1 残余 故障 移 除 的 递增 成 本 
时 ， 失 效 造成 的 损失 比 在 系统 发 布 之 前 发 现 和 消 
除 它们 的 开销 要 少 。 但 是 发 布 包 含 故 障 的 软件 并 不 仅仅 是 一 个 经 济 问题 ， 同 时 还 要 考虑 系统 
失效 的 社会 和 政治 影响 。 


每 个 检测 到 的 错误 的 成 本 
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11.1 可 用 性 和 可 靠 性 


第 10 章 介绍 了 系统 可 靠 性 和 可 用 性 的 概念 。 如 果 认 为 系统 提供 某 种 服务 (例如 ， 交 付 现 
金 ， 控 制 刹 车 或 者 连接 电话 )， 那 么 这 些 服务 的 可 用 性 是 指 服 务 能 否 启 动 和 运行 ， 可 靠 性 是 指 
服务 能 否 提 供 正 确 的 结果 。 系 统 的 可 用 性 和 可 靠 性 都 可 以 用 概率 来 表达 。 如 果 可 用 性 是 0.999, 
即 表示 在 一 段 时 间 里 的 99.9% 都 是 可 用 的 。 如 果 平 均 来 说 每 1000 次 输入 中 两 次 输入 引起 失效 ， 
那么 其 可 靠 性 用 发 生 失 效 的 频率 来 表示 就 是 0.002。 系 统 可 靠 性 和 可 用 性 的 更 精确 的 定义 如 下 。 

1. 可 靠 性 。 系 统 在 一 个 特定 时 间 、 特 定 环境 中 针对 一 个 特定 目的 而 执行 的 无 失效 操作 的 
可 能 性 。 

2. 可 用 性 。 系 统 在 一 个 时 刻 是 可 操作 的 和 能 执行 请 求 服务 的 可 能 性 。 

系统 可 靠 性 不 是 绝对 的 ， 它 取决 于 系统 在 何 地 以 及 如 何 被 使 用 。 举 例 来 说 ， 一 个 软件 系 
统 的 可 靠 性 度量 是 在 办 公 室 环境 中 进行 的 ， 环 境 中 绝 大 多 数 用 户 都 对 软件 的 操作 不 感 兴趣 。 
他 们 会 按照 说 明 书 一 板 一 眼 地 操作 ， 从 不 对 系统 做 其 他 尝试 。 在 一 个 大 学 环境 中 ， 可 靠 性 可 
能 就 大 大 不 同 了 。 在 这 里 ， 学 生 探 究 系统 的 边界 ， 可 能 以 一 种 意 想 不 到 的 方式 使 用 系统 。 这 
些 都 可 能 造成 系统 的 失效 ， 而 在 办 公 室 环境 中 很 少 发 生 这 种 情况 。 因 此 ， 对 系统 可 靠 性 的 看 
法 在 各 种 环境 中 是 不 同 的 。 

以 上 对 可 靠 性 的 定义 是 基于 系统 无 失效 运行 的 观点 给 出 的 ， 其 中 失效 是 影响 系统 用 户 的 
外 部 事件 。 但 是 失效 由 什么 构成 ? 一 个 技术 性 的 定义 是 ， 失 效 是 一 种 违反 系统 规格 说 明 的 行 
为 。 但是， 对 于 这 个 定义 存在 以 下 两 个 问题 。 

1. 软件 规格 说 明 通常 是 不 完整 的 或 不 正确 的 ， 软 件 工 程 师 用 规格 说 明 来 解释 系统 该 如 何 
表现 。 因 为 他 们 不 是 这 些 领域 的 专家 ， 他 们 实现 的 行为 可 能 不 是 用 户 所 期 竺 的。 软件 行为 可 
能 是 符合 规格 说 明 的 ， 但 对 用 户 而 言 是 失效 的 。 

2. 没有 人 和 希望 系统 开发 人 员 阅 读 软 件 规格 说 明文 档 。 因 此 ， 用 户 可 能 期 望 软件 应 该 以 一 
种 和 规格 说 明 完 全 不 同 的 方式 表现 出 来 。 

因此 ， 不 能 客观 地 定义 失效 。 系 统 失效 是 由 系统 用 户 判 断 的 。 这 就 是 用 户 总 是 对 系统 可 
靠 性 有 着 不 相同 的 感觉 的 原因 。 . 

为 了 理解 为 什么 不 同 的 环境 中 可 靠 性 表 
现 不 同 ， 我 们 需要 把 系统 考虑 成 一 个 输入 输出 
映射 。 

图 11-2 说 明了 一 个 软件 系统 是 输入 到 输 
出 集合 的 映射 。 程 序 响 应 单一 输入 或 者 输入 
序列 ， 产 生 一 个 或 一 组 输出 。 例 如 ， 给 定 一 
个 URL 输 入 ，Web 浏览 器 产生 一 个 相应 的 显 
AN Web 页 的 输出 。 大 多 数 的 输入 不 会 引起 系统 
失效 。 然 而， 有 些 输入 或 输入 组 合 ， 如 图 11-2 
中 用 带 阴影 的 椭圆 I. 所 示 ， 引 起 系统 失效 或 产 
生 错 误 输 出 。 程 序 的 可 靠 性 取决 于 作为 引发 错 
误 输出 的 输入 集合 的 数量 。 换 句 话 说 ， 这 个 输 图 11-2 系统 的 输入 /输出 映射 

人 集合 导致 了 错误 代码 的 执行 和 系统 错误 的 发 
生 。 如 果 在 集合 I 中 的 输入 被 系统 频繁 使 用 的 代码 执行 ， 那么 失效 就 会 频繁 发 生 。 然而 ， 如 


引起 错误 
输出 的 输入 


错误 输出 
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果 输 入 集合 工 被 很 少 使 用 的 代码 执行 ， 那 用 户 可 能 几乎 不 会 遇 到 失效 。 

对 某 个 用 户 而 言 影响 系统 可 靠 性 的 故障 对 男 一 个 用 户 而 言 可 能 就 不 是 。 在 图 11-3 中 错 
误 的 输入 集 对 应 图 11-2 PERA e 的 椭圆 部 分 。 用 户 2 使 用 的 输入 集 与 这 个 错误 的 输入 集 相 
Z, 用户 2 将 会 体会 到 系统 失效 的 滋味 。 用 户 1 和 用 户 3 
从 不 使 用 来 自 这 个 错误 集合 中 的 输入 ， 对 他 们 来 讲 ， 这 
个 软件 看 上 去 总 是 可 靠 的 。 

可 用 性 不 仅 取决 于 系统 失效 的 次 数 ， 而 且 还 取决 于 修 
复 导 致 失效 的 故障 所 需 时 间 。 因 此 ， 如 果 系 统 A 每 一 年 失 
效 一 次 ， 系 统 B 每 一 个 月 失效 一 次 ， 则 A 系统 比 B 系统 
相对 更 可 靠 。 然 而 ， 如 果 系 统 A 需要 花 6 个 小 时 才能 重新 
启动 ， 而 系统 B 只 需 5 分 钟 就 可 以 重新 启动 ， 那 么 会 认为 dy 
系统 B 全 年 而 言 (60 分 钟 宕 机 时 间 ) 比 系统 A ( 360 分 钟 rm 
宕 机 时 间 ) 更 具有 可 用 性 。 用 户 或 许 更 喜欢 系统 Bo 图 11-3 ”软件 使 用 模式 

此 外 ， 不 可 用 系统 所 造成 的 混乱 不 是 简单 反映 在 系统 
的 可 用 性 度量 上 ， 可 用 性 度量 描述 的 是 不 可 用 时 间 所 占 的 百分比 。 系 统 失效 发 生 的 时 间 点 同样 
很 重要 。 如 果 一 个 系统 每 天 在 凌晨 3 点 到 凌晨 4 点 不 可 用 ， 并 不 会 影 啊 很 多 用 户 。 然 而 ， 如 果 
同样 的 系统 在 上 班 时 间 有 10 分 钟 不 可 用 ， 系 统 的 不 可 用 性 可 能 会 对 用 户 造 成 更 大 的 影 啊 。 

可 靠 性 与 可 用 性 是 紧密 联系 的 ， 但 是 有 时 候 一 个 比 另 一 个 更 重要 。 如 果 用 户 期 望 从 系统 
得 到 持续 的 服务 ， 那 么 这 个 系统 就 有 高 可 用 性 需求 。 也 就 是 说 无 论 何 时 有 需求 ， 系 统 都 必须 
是 可 用 的 。 然 而 ， 如 果 由 于 失效 而 造成 的 损失 不 大 并 且 系 统 可 以 迅速 恢复 ， 那 么 这 些 失效 不 
会 严重 地 影响 系统 使 用 者 。 

电话 交换 机 系统 就 是 一 个 可 用 性 比 可 靠 性 更 重要 的 例子 。 当 拿 起 听 简 的 时 候 ， 用 户 希 望 
听 到 拨号 音 ， 因 此 系统 有 较 高 的 可 用 性 需求 。 即 使 一 次 连接 建立 起 以 后 系统 发 生 了 故障 ， 故 
障 也 可 以 很 快 得 到 修复 ， 即 交换 机 通常 可 以 重 置 系 统 并 重新 尝试 连接 。 这 可 能 发 生得 非常 之 
快 ， 以 至 于 用 户 甚至 没有 注意 到 失效 曾经 发 生 。 再 者 ， 即 便 是 通话 真 的 被 打扰 了 ， 其 造成 的 
结果 也 通常 不 很 严重 ， 如 果 这 种 情况 真 的 发 生 了 ， 用 户 简单 重 连 即 可 。 


11.2 可靠 性 需求 


1993 年 9 月 ， 一 架 飞 机 在 风暴 中 降落 波兰 华沙 机 场 。 开 始 降落 后 的 9 秒 时 间 里 ， 飞 机 
计算 机 控制 的 制 动 系统 突然 失灵 。 制 动 系统 并 未 检测 出 飞机 已 经 着 陆 了 并 认为 飞机 还 在 空 
中 。 飞 机 的 安全 特性 中 止 了 道 推力 系统 的 工作 ， 因 为 逆 推 力 系 统 可 以 降低 飞机 的 速度 ， 它 在 
空中 启动 将 是 危险 的 。 飞 机 脱离 跑道 向 外 冲 去 ， 撞 上 了 泥土 堤岸 ， 引 起 大 火 。 

对 于 事故 的 调查 显示 ， 制 动 系统 软件 按 其 规格 说 明正 常 工作 了 。 程 序 中 是 没有 错误 的 。 
然而 ， 软 件 的 规格 说 明 是 不 完备 的 ， 它 没有 考虑 到 一 些 极 特殊 的 情况 ,恰巧 这 种 极 特殊 情况 
发 生 了 。 软 件 正常 工作 但 是 系统 失效 了 。 

这 说 明了 系统 的 可 依赖 性 不 仅 依赖 于 好 的 工程 过 程 ， 它 还 需要 关注 系统 需求 分 析 时 的 一 
些 细 节 以 及 用 于 保证 系统 可 依赖 性 的 软件 需求 规格 说 明 。 可 依赖 性 需求 分 为 以 下 两 种 。 

1. 功能 性 需求 。 :定义 了 系统 应 该 包含 的 检查 和 修复 措施 ， 以 及 防止 系统 失效 和 外 部 攻击 
的 保护 性 特征 。 

2. 非 功能 性 需求 。 定 义 了 系统 需要 的 可 靠 性 和 可 用 人 性 。 
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正如 第 10 草 所 述 ， 系 统 的 总 体 可 徘 性 取决 于 硬件 可 靠 性 、 软 件 可 靠 性 ， 以 及 操作 员 的 
可 靠 性 。 系 统 软件 必须 考虑 到 这 一 点 。 同 时 要 包括 补偿 软件 失效 的 需求 ， 可 能 还 要 有 相关 的 
可 靠 性 需求 ， 以 帮助 解决 检测 和 恢复 硬件 失效 和 操作 员 错 误 。 


11.2.1 ”可靠 性 度量 


可 靠 性 可 以 被 描述 为 系统 在 一 个 指定 的 运行 环境 中 使 用 时 发 生 失 效 的 概率 。 如 果 你 愿 
意 接 受 ， 比 如 说 ， 在 1000 次 事务 处 理 中 有 1 次 是 失效 的 ， 那么 你 可 以 描述 失效 的 概率 为 
0.001。 这 当然 并 不 意味 着 在 1000 次 事务 处 理 中 你 一 定 会 看 到 1 次 失效 。 它 意味 着 如 果 你 观 
察 N 和 干 次 事务 处 理 ， 你 看 到 发 生 失 效 的 次 数 应 该 是 在 和 N 这 个 数 附近 。 

以 下 这 些 度量 可 以 用 来 刻画 可 靠 性 和 可 用 性 。 

1. 请 求 失效 概率 (Probability Of Failure On Demand，POFOD)。 使 用 这 个 度量 定义 系 
统 服 务 请 求 将 导致 失效 的 可 能 性 。 所 以 ，POFOD=0.001 意味 着 当 提 出 一 个 请 求 的 时 候 可 能 
发 生 失 效 的 概率 是 1/1000。 

2. 失效 发 生 率 ( Rate Of Occurrence Of Failure，ROCOF)。 这 个 度量 说 明 在 一 段 时 
间 (比如 1 小 时 )， 或 在 一 定 的 系统 执行 的 次 数 之 内 ， 能 够 观察 到 的 系统 失效 的 次 数 。 在 
上 面 的 例子 当中 ，ROCOF 是 1/1000, ROCOF 的 倒数 是 平均 失效 间隔 时 间 (Mean Time To 
Failure, MTTF )， 其 常用 在 可 靠 性 度量 当中 。MTTF 是 观察 到 的 系统 失效 时 间 间 隔 的 平均 值 。 
ROCOF 为 每 小 时 2 次 失效 暗示 着 平均 失效 间隔 时 间 是 30 分 钟 。 

3. 可 用 性 (AVAIL). AVAIL 是 当 请 求 某 一 服务 的 时 候 系 统 可 使 用 的 概率 。 因 此 ,0.999 9 
的 可 用 性 是 指 平均 来 说 系统 在 运行 时 间 的 99.99% 是 可 用 的 。 图 11-4 展示 了 实践 中 不 同 的 可 
用 性 等 级 意味 着 什么 。 


在 24 小 时 期 间 ， 系 统 有 14.4 分 钟 不 可 用 


在 24 小 时 期 间 , 系统 有 84 秒 不 可 用 





图 11-4 可 用 性 规格 说 明 


当 请 求 失效 会 产生 一 个 严重 的 系统 失效 的 时 候 ，POFOD 应 该 用 作 可 靠 性 度量 。 这 一 点 
与 提出 请 求 的 频率 无 关 。 例 如 ， 一 个 保护 系统 监控 化 学 反应 并 在 过 加 热 的 情况 下 停止 反应 进 
行 ， 这 就 应 该 用 POFOD 定义 的 可 靠 性 描述 。 总 的 来 说 ， 对 保护 系统 的 请 求 是 很 少 发 生 的 ， 
因为 这 一 系统 是 在 所 有 的 修复 措施 失败 之 后 的 最 后 一 道 防线 。 因 此 POFOD 为 0.001 (1 000 
次 请 求 时 有 一 次 是 失效 的 ) 看 起 来 可 能 是 有 风险 的 ， 但 如 果 在 其 生命 周期 中 只 有 两 三 次 对 系 
统 的 请 求 ， 那 么 可 能 永远 不 会 发 生 系 统 失效 。 

当 系统 处 理 持 续 的 请 求 而 不 是 断断续续 的 请 求 时 ， 应 该 使 用 ROCOF 度量 。 例 如 ， 在 一 
个 处 理 大 量 事务 的 系统 当中 ， 你 可 能 要 指定 ROCOF 为 每 天 10 次 失效 。 这 意味 着 你 愿意 接 
受 平均 每 天 10 次 事务 处 理 不 能 够 成 功 完 成 并 必须 取消 的 事实 。 要 么 ， 你 可 以 定义 ROCOF 
为 每 1000 次 事务 中 失效 的 次 数 。 

如 果 失 效 之 间 的 绝对 时 间 很 重要 的 话 ， 可 以 把 可 靠 性 定义 为 平均 失效 间隔 时 间 (MTTF). 
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例如 ， 如 果 为 一 个 有 很 长 的 事务 处 理 序列 的 系统 (比如 计算 机 辅助 设计 系统 ) 定义 可 靠 性 需 
求 ， 就 应 该 用 MTTEF 这 个 度量 指标 。MTTF 应 该 比 一 个 用 户 在 他 的 模型 上 连续 工作 而 未 存 
盘 的 平均 时 间 要 长 得 多 ， 这 将 意味 着 用 户 无 论 在 哪 一 个 工作 阶段 中 都 不 太 可 能 由 于 失效 丢失 
数据 。 


11.2.2” 非 功能 性 可 靠 性 需求 


非 功 能 性 的 可 靠 性 需求 是 对 系统 可 徘 性 和 可 用 性 的 要 求 做 出 的 规格 说 明 ， 使 用 前 面 讲 述 
的 度量 之 一 来 描述 。 多 年 来 定量 的 可 靠 性 和 可 用 性 规格 说 明 被 用 于 安全 关键 系统 中 ,但 是 很 
少 用 在 业务 关键 系统 中 。 然 而 ， 随 着 更 多 的 企业 要 求 其 系统 提供 24/7 的 服务 ， 让 服务 在 可 
徘 性 和 可 用 性 期 望 方面 变 得 精确 是 有 意义 的 。 

定量 的 可 徘 性 规格 说 明 在 很 多 方面 是 有 用 的 : 

1. 决定 可 徘 性 需求 级 别 的 过 程 对 弄 清 利益 相关 者 真正 的 需求 是 有 帮助 的 。 这 个 过 程 帮助 
利益 相关 者 理解 不 同类 型 的 系统 失效 的 存在 ， 这 也 使 利益 相关 者 清楚 地 认识 到 实现 高 级 别 的 
可 靠 性 要 花费 大 量 财力 。 

2. 它 提供 了 一 个 用 来 评估 何 时 停止 测试 系统 的 基准 。 当 系统 达到 了 它 所 需 的 可 徘 性 级 别 
时 就 可 以 停止 测试 。 

3. 定量 的 可 靠 性 规格 说 明 是 一 种 评估 不 同 设计 策略 的 方式 ， 它 的 目的 是 提高 系统 的 可 
靠 性 。 
4. 如 果 一 个 系统 在 投入 使 用 之 前 已 经 通过 了 监管 人 员 的 审批 《例如 ， 对 飞机 飞行 安全 起 
至 关 作用 的 所 有 系统 都 有 相关 规定 )， 那 么 证 明 该 系统 必需 的 可 靠 性 目标 得 到 满足 对 系统 认 
证 有 着重 要 意义 。 







O 可 入 性 超标 
可 靠 性 超标 是 指 对 实际 运转 的 软件 所 定义 的 必需 的 可 靠 性 级 别 比 实际 需要 的 更 高 。 
可 靠 性 超标 不 成 比例 地 增加 了 开发 成 本 ， 因 为 减少 故障 的 开销 和 可 靠 性 验证 的 花费 随 着 可 
靠 性 的 提高 按 指数 增长 。 


http://software-engineering-book.com/web/over-specifying-reliability/ 





K TERIER Be HE Be, RE TS ARSC, TERE es BE YY SAE m AS E a 
单 选择 一 个 高 级 别 的 可 靠 性 是 非常 重要 的 。 如 果 一 个 系统 的 某 些 部 分 相 比 其 他 部 分 而 言 更 关 
键 ， 那么 对 系统 不 同 部 分 可 以 有 不 同 的 可 靠 性 需求 。 当 刻画 可 靠 性 需求 时 ， 应 该 遵守 下 面 3 
条 准则 。 

L. 针对 不 同类 型 的 失效 定义 可 用 性 和 可 靠 性 需求 。 造 成 严重 损失 的 失效 发 生 概率 应 该 比 
不 会 带 来 重大 损失 的 失效 发 生 概率 低 。 

2. 针对 不 同类 型 的 服务 定义 可 用 性 和 可 和 菲 性 需求 。 关 键 系统 服务 应 该 有 最 高 的 可 靠 性 ， 
但 是 对 非 天 键 性 的 服务 你 可 能 愿意 容 义 更 多 的 失效 。 一 般 情况 下 ， 考 虑 到 成 本 效益 ， 只 有 最 
关键 的 系统 服务 才 会 使 用 定量 的 可 靠 性 规格 说 明 。 

3. 考虑 是 否 真 的 需要 高 可 靠 性 。 比 如 ， 可 以 使 用 错误 探测 机 制 来 检查 系统 的 输出 并 包含 
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错误 修正 过 程 ， 这 样 的 话 产生 此 输出 的 系统 可 能 就 不 需要 高 可 靠 性 了 。 

为 解释 上 面 3 个 观点 ， 考 虑 能 够 存 取 现金 和 为 消费 者 提供 其 他 服务 的 银行 ATM 机 的 可 
靠 性 需求 。 银 行 对 这 种 系统 有 两 个 关注 点 : 

1. 确保 系统 按照 客户 的 要 求 执行 服务 ， 同 时 准确 地 记录 账户 数据 库 中 的 客户 交易 。 

2. 确保 这 些 系统 在 需要 时 是 可 用 的 。 

然而 ， 对 于 怎样 识别 和 纠正 不 正确 的 账户 交易 ， 银 行 拥有 多 年 的 经 验 。 他 们 使 用 会 计 
方法 检查 什么 时 候 出 错 。 大 多 数 的 事务 如 果 失 败 了 可 以 简单 地 取消 掉 ， 从 而 不 会 引起 银行 的 
损失 ， 而 且 对 于 用 户 造成 的 不 便 也 很 小 。 运 行 ATM 网 络 的 银行 因此 接受 这 样 的 一 个 事实 ， 
ATM 的 失效 可 能 意味 着 很 小 一 部 分 的 交易 是 不 正确 的 ， 但 是 事后 再 修改 这 些 错误 较 之 为 了 
避免 错误 交易 而 支付 很 高 的 花费 要 经 济 得 多 。 因 此 ，ATM 需要 绝对 可 靠 性 的 可 能 性 相对 较 
低 。 每 天 出 现 个 别 的 失效 是 可 以 接受 的 。 

对 于 一 家 银行 来 说 (以 及 银行 的 用 户 )，ATM 网 络 的 可 用 性 比 个 别 ATM 交易 是 否 失 败 
更 重要 。 可 用 性 的 缺乏 意味 着 更 多 的 柜台 服务 请 求 、 更 多 的 用 户 不 满 、 更 多 的 修复 网 络 的 工 
程 花 费 ， 等 等 。 因 此 ， 对 于 基于 事务 的 系统 ， 比 如 银行 业 和 电子 商务 系统 ， 可 靠 性 描述 的 焦 
点 通常 在 于 描述 系统 的 可 用 性 。 

为 了 定义 一 个 ATM 网 络 的 可 用 性 ， 应 该 识别 系统 的 服务 ， 并 且 对 每 一 项 服务 定义 其 所 
需 的 可 用 性 需求 ， 包 括 : 

e 客户 的 账户 数据 库 服务 。 

e 单个 ATM 所 提供 的 每 一 项 服务 ， 比 如 ,“ 取 款 ”“ 提 供 打 印 任 条 ”等 。 

这 里 ， 数 据 库 的 服务 是 最 严格 的 ， 因 为 这 项 服务 的 失效 意味 着 网 络 中 的 所 有 ATM 都 不 
能 够 提供 服务 。 因 此 ， 应 该 把 这 项 服务 描述 为 高 可 用 的 。 在 这 种 情况 下 ， 早 上 7 时 到 晚上 
11 时 ， 一 个 可 以 接受 的 可 用 性 数值 (忽略 安排 好 的 维护 和 升级 ) 可 能 是 0.9999。 这 意味 着 每 
周 不 可 用 的 时 间 少 于 1 分 钟 。 

对 于 每 一 个 ATM， 总 的 可 用 性 依赖 于 机 械 的 可 靠 性 和 是 否 现 金 用 尽 。 软 件 问题 产生 的 
影响 应 该 比 这 些 问 题 产 生 的 影响 要 少 。 因 此 ，ATM 的 软件 可 用 性 级 别 相 对 不 高 是 可 以 接受 
的 。ATM 软件 的 可 用 性 可 描述 为 0.999， 意 味 着 在 一 天 当中 一 台 机 器 不 可 用 的 时 间 为 1 一 2 
分 钟 。 这 人 允许 ATM 软件 在 一 个 问题 事件 中 重启 。 

控制 系统 的 可 靠 性 通常 定义 为 一 个 命令 执行 时 系统 将 失效 的 概率 (POFOD)。 考 虑 第 1 
章 介绍 的 胰岛 素 泵 中 控制 软件 的 可 靠 性 需求 。 这 个 系统 每 天 多 次 注射 胰岛 素 并 且 每 小 时 对 用 
户 的 血糖 进行 多 次 监控 。 

可 以 将 胰岛 素 泵 的 失效 分 为 两 类 。 

1. 短暂 性 软件 失效 。 这 是 一 类 可 以 由 用 户 来 修复 的 失效 ， 比 如 ， 可 以 重启 或 重新 校准 
机 器 。 对 于 这 种 类 型 的 失效 ， 相 对 较 低 的 POFOD {A (假设 0.002 ) 是 可 以 接受 的 。 这 意味 
着 失效 可 能 在 每 500 个 请 求 中 发 生 1 次 ， 大 约 为 每 3.5 天 1 次 ,因为 血糖 含量 每 小 时 检查 
5K. | 

2. 永久 性 软件 失效 。 机 器 需要 由 厂家 维修 。 这 种 类 型 的 失效 概率 非常 低 才 行 。 大 约 一 年 
一 次 是 最 低 要 求 ， 因 此 ，POFOD 应 该 不 会 高 于 0.000 02. 

然而 ,胰岛素 注射 失效 不 会 带 来 生命 危险 ， 所 以 在 这 里 决定 可 靠 性 需求 级 别 的 是 商业 
因素 而 非 安 全 因素 。 由 于 用 户 需 要 一 个 非常 快 的 维修 和 更 换 服 务 ， 所 以 服务 的 费用 是 非常 高 
的 。 厂 商 的 利益 决定 了 需要 修理 的 永久 性 失效 的 数量 。 
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11.2.3 ”功能 性 可 靠 性 规格 说 明 


为 了 确保 软件 密集 型 系统 具有 高 度 的 可 靠 性 和 可 用 性 ， 我 们 需要 同时 使 用 故障 避免 、 故 
障 检测 和 容错 技术 。 这 意味 着 功能 性 可 靠 性 需求 要 求 系统 提供 故障 避免 、 检 测 和 容错 功能 。 

这 些 功 能 性 可 靠 性 需求 应 当 规 定 需 要 检测 的 故障 以 及 应 当 采 取 的 措施 ， 以 确保 这 些 故 障 
不 会 导致 系统 失效 。 因 此 ， 功 能 性 可 靠 性 规格 说 明 涉 及 分 析 非 功能 性 需求 (如 果 存 在 这 些 需 
求 ), 评估 可 靠 性 存在 的 风险 ， 以 及 指定 系统 如 何 解 决 这 些 风险 。 

系统 中 有 4 类 功能 性 可 靠 性 需求 。 

1. 检查 需求 。 这 些 需求 明确 对 系统 输入 的 检查 ， 以 确保 不 正确 的 或 者 超过 国信 的 输入 在 
系统 处 理 之 前 被 检测 到 。 

2. 恢复 需求 。 设 置 这 些 需求 来 帮助 系统 在 一 次 失效 发 生 之 后 进行 恢复 。 这 些 需求 一 般 关 
注 的 是 维护 系统 及 其 数据 的 拷贝 ， 并 定义 在 失效 后 如 何 重 新 修复 系统 服务 。 

3. 宛 余 性 需求 。 这 些 需 wen a T RE ei ee Soe TRA 
的 失效 。 在 下 一 章 中 会 详细 讨论 这 一 点 。 

4. 过 程 性 需求 。 i he 以 确保 好 的 实践 在 开发 过 程 中 得 到 使 用 。 所 
和 定 的 实践 应 当 减 少 系统 中 的 故障 数量 。 

一 些 可 靠 性 需求 的 示例 如 图 11-5 所 示 。 


: 应 定义 所 有 操作 员 输 入 的 预定 义 范围 ， 并 且 系 统 应 检查 所 有 操作 员 输 入 是 否 在 该 预定 范围 内 。 
(检查 ) 
: 患者 数据 库 的 副本 应 保存 在 不 同 建筑 物 内 的 两 个 不 同 的 服务 器 上 。( 恢 复 ， 宛 余 ) 


RR3: 应 用 N 版 本 编程 实现 制 动 控制 系统 。( 元 余 ) 
RR4: 该 系统 必须 在 Ada 的 安全 子 集中 被 实现 ， 并 使 用 静态 分 析 来 检查 。( 过 程 ) 


图 11-5 功能 性 可 靠 性 需求 示例 


得 出 功能 性 可 靠 性 需求 没有 简单 的 规则 可 循 。 在 开发 关键 性 系统 的 组 织 中 ， 内 部 通常 有 
一 些 关于 可 靠 性 需求 和 这 些 需求 怎样 在 实际 中 影响 系统 的 可 靠 性 的 经 验 。 这 些 组 织 可 能 对 茶 
种 系统 特别 在 行 ， 比 如 铁路 控制 系统 ， 这 样 可 靠 性 需求 就 可 以 在 此 类 系统 中 复 用 了 。 


11.3 ”容错 体系 结构 

容错 机 制 是 一 种 确保 运行 时 可 靠 性 的 方法 ， 它 定义 了 系统 发 生 错误 后 的 运行 机 制 ， 即 使 
发 生 软 件 或 硬件 故障 ， 也 能 保证 系统 正常 工作 。 容 错 机 制 可 以 检测 并 纠正 错误 状态 ， 使 得 故 
障 的 发 生 不 会 导致 系统 失效 。 在 安全 关键 和 信息 安全 关键 系统 中 ， 以 及 出 错 后 无 法 继续 运行 
下 去 的 系统 中 ， 尤 其 需要 容错 机 制 。 

为 了 提供 容错 机 制 ， 系 统 体 系 结构 必须 具有 一 定 的 元 余 性 ， 以 及 多 样 化 的 硬件 和 软件 。 例 如 ， 
飞行 器 系统 就 需要 容错 体系 结构 ， 以 确保 通信 系统 、 关 键 命令 和 控制 系统 在 飞行 过 程 中 始终 可 用 。 

可 依赖 体系 结构 的 最 简单 实现 是 采用 重复 服务 器 ， 即 两 个 或 多 个 服务 器 完成 同样 的 任 
务 。 处 理 的 请 求 通过 一 个 服务 器 管理 构件 路 由 到 一 个 特定 的 服务 器 上 。 这 个 服务 器 管理 构件 
同时 还 跟踪 服务 器 响应 。 如 果 服 务 器 失效 ， 这 通常 通过 无 法 得 到 响应 而 被 探测 到 ， 有 故障 的 
服务 器 被 系统 剔除 出 去 。 未 处 理 的 请 求 由 其 他 服务 器 重新 接收 并 处 理 。 

这 种 重复 服务 器 方法 广泛 使 用 在 事务 处 理 系统 中 ， 很 容易 维护 要 处 理 的 事务 的 多 个 拷 
贝 。 事 务 处 理 系统 的 设计 使 得 数据 仅仅 在 事务 正确 结束 才 得 到 更 新 ， 这 种 处 理 延 迟 不 会 影响 
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系统 的 完整 性 。 如 果 备 用 服务 器 用 在 低 优先 级 任务 中 ， 那 么 这 个 方法 可 能 是 使 用 硬件 的 一 个 
很 有 效 的 方法 。 如 果 主 要 的 服务 器 发 生 了 问题 ， 它 的 处 理 将 转移 到 备用 服务 器 进行 ， 该 服务 
需 对 此 任务 给 予 最 高 优先 级 。 

重复 服务 器 提供 元 余 性 ， 但 是 通常 不 提供 多 样 性 。 硬 件 通 稼 是 一 样 的 并 且 运 行 相同 版 本 
的 软件 。 因 此 它们 可 以 应 对 集中 在 一 台 机 器 上 的 硬件 失效 和 软件 失效 。 但 是 它们 不 能 应 对 导 
致 所 有 版 本 软件 同时 失效 的 软件 设计 问题 。 为 应 对 软件 设计 的 失效 ,一 个 系统 必须 拥有 和 多样 
性 的 软件 和 硬件 。 

Torres-Pomales 调查 了 一 系列 软件 容错 技术 (Torres-Pomales 2000 ), Pullum (Pullum 2001 ) 
描述 了 不 同类 型 的 容错 体系 结构 。 下 文 将 摘 述 在 容错 系统 中 通常 使 用 的 3 种 体系 结构 模式 。 


11.3.1 保护 性 系统 


保护 性 系统 是 一 种 与 其 他 系统 相关 联 的 专用 系统 。 它 通常 是 对 一 些 过 程 的 控制 系统 ， 比 
如 化 学 制造 过 程 或 者 一 个 设备 控制 系统 (如 无 人 驾驶 火 
车 系统 )。 保 护 性 系统 的 例子 可 能 是 一 个 火车 上 探测 火 
车 是 否 正在 通过 一 个 红色 信号 灯 的 系统 。 如 果 是 ， 并 且 
没有 迹象 显示 火车 控制 系统 正在 减速 ， 那 么 保护 性 系统 
会 要 求 系统 制 动 使 其 停止 。 保 护 性 系统 独立 地 监控 系统 
的 环境 ， 如 果 传感器 指示 控制 系统 没有 正确 工作 ， 那 么 
保护 性 系统 被 激活 并 且 关 闭 设备 的 运行 。 

图 11-6 说 明了 保护 性 系统 与 控制 系统 的 关系 。 保 
护 性 系统 监控 受 控 设备 及 其 环境 。 如 果 探 测 出 一 个 间 
题 ， 它 发 出 命令 使 执行 器 关闭 系统 或 者 触发 其 他 保护 机 
制 (比如 打开 一 个 压力 释放 阀门 )。 注 意 : 这 里 有 两 个 
传感器 ， 一 个 用 于 正常 的 系统 监控 ， 而 另 一 个 专门 供 保 st 
护 性 系统 使 用 。 在 传感器 失效 时 ， 备 用 机 制 允许 保 护 性 图 11-6 保护 性 系统 体系 结构 
系统 继续 运作 。 系 统 中 可 能 还 要 有 宛 余 的 执行 器 。 

保护 性 系统 只 包含 最 紧要 的 功能 ， 能 够 把 系统 从 潜在 的 危险 状态 转换 到 安全 状态 (系统 
关闭 )。 它 是 一 个 更 加 通用 的 容错 系统 体系 结构 的 实例 ， 主 系统 由 一 个 更 小 更 简单 的 、 只 包 
含 关键 功 能 的 备用 系统 所 支持 。 比 如 ， 美 国航 天 飞机 控制 软件 有 一 个 备用 系统 包含 “ 带 你 回 
家 ”功能 ， 即 备用 系统 可 以 在 主 控 制 系统 失效 又 没有 其 他 控制 功能 时 让 飞船 安全 着 陆 。 

这 种 体系 结构 类 型 的 优势 是 ， 保 护 性 系统 的 软件 可 以 比 控制 被 保护 过 程 的 软件 简单 得 
多 。 保护 性 系统 的 唯一 功能 是 监视 操作 并 确保 紧急 情况 下 系统 被 带 回 安全 状态 。 因 此 ， 我 们 
就 可 以 投入 更 多 的 精力 到 容错 和 故障 检测 中 去 。 你 可 以 检查 软件 规格 说 明 是 否 正 确 目 一 致 ， 
而 且 软 件 参 照 其 规格 说 明 也 是 正确 的 。 目 的 就 是 确保 保护 性 系统 的 可 靠 性 ， 即 在 需要 启动 时 
其 发 生 失 效 的 可 能 是 非常 小 的 (如 0.001 )。 对 保护 性 系统 的 调用 应 该 是 非常 罕见 的 ， 如 果 请 
求 失 效率 为 11000， 意 味 着 保护 性 系统 失效 应 该 是 非常 稀少 的 。 


11.3.2 ” 自 监控 系统 体系 结构 


自 监控 系统 体系 结构 ( 见 图 11-7 ) 是 指 这 样 一 种 系统 体系 结构 ， 系 统 设计 成 监视 其 目 映 的 
操作 ， 并 在 探测 到 问题 的 时 候 采取 某 些 行动 。 这 是 通过 在 不 同 的 通道 计算 并 比较 计算 的 输出 来 
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实现 的 。 如 果 和 输出 是 一 致 的 并 且 同 时 可 用 ， 那 么 可 以 判定 系统 运行 是 正常 的 ; 如 果 输 出 不 同 ， 
那么 可 以 假设 发 生 了 失效 。 当 其 发 生 的 时 候 ， 系 统 通 常会 在 状态 输出 线 上 输出 一 个 失效 异常 ， 
这 会 使 控制 被 转移 到 为 一 个 系统 上 进行 。 





图 11-7 和 上 自 监控 系统 体系 结 梳 


为 了 能 有 效 地 检查 便 件 和 软件 故障 ， 目 监控 系统 必须 被 设计 成 : 

1. 每 一 个 通道 上 使 用 的 硬件 都 是 不 一 样 的 。 现 实 中 ， 这 可 能 意味 着 每 一 个 通道 使 用 不 同 
的 处 理 需 类 型 来 实现 要 求 的 计算 ， 或 者 是 组 成 系统 的 芯片 集 可 能 源 自 不同 的 生产 商 。 这 降低 
了 通常 的 处 理 占 设计 故障 影响 计算 的 可 能 性 。 

2. 在 不 同 的 通道 上 使 用 不 同 的 软件 。 否 则 相同 的 软件 错误 可 能 会 在 同一 时 间 在 每 一 个 通 
道上 发 生 。 

对 其 本 里 而 言 ， 此 体系 结构 可 以 用 于 如 下 情形 : 计算 的 正确 性 非常 重要 ,但 可 用 性 并 不 是 
至 关 重 要 。 如 果 从 不 同 的 通道 获得 的 答案 是 不 同 的 ， 系 统 会 简单 地 关闭 。 对 于 很 多 医疗 和 诊断 系 
统 ， 可 靠 性 要 比 可 用 性 更 加 重要 ， 因 为 错误 的 系统 啊 应 会 导致 病人 接受 错误 的 治疗 。 然 而 ， 如 果 
系统 在 错误 事件 中 仅仅 是 关闭 了 ， 这 虽然 会 带 来 不 便 ， 但 通常 病人 不 会 因此 而 受到 系统 的 伤害 。 

在 需要 高 可 用 性 的 情况 下 ， 需 要 并 行使 用 几 个 目 监 控 系 统 。 需 要 一 个 切换 单元 来 检查 
故障 ， 并 在 有 两 个 通道 产生 一 致 的 结果 时 从 一 个 系统 取得 结果 。 这 样 的 方法 被 用 在 空中 客车 
340 系列 飞行 控制 系统 中 ， 在 这 个 系统 中 使 用 了 5 个 自 检 查 计算 机 。 图 11-8 是 空中 客车 飞行 
控制 系统 简化 图 ， 其 中 显示 了 目 监 控 系 统 的 组 织 结构 。 


主 飞 行 控制 系统 1 





图 11-8 空中 客车 飞行 控制 系统 体系 结构 
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在 空中 客车 飞行 控制 系统 中 ， 每 一 个 飞行 控制 计算 机 并 行 地 计算 ,使 用 的 是 同一 个 输 
人 。 输 出 被 连接 到 一 个 硬件 过 滤器 上 以 检查 这 个 状态 是 否 指示 的 是 一 个 故障 。 如 果 是 ， 则 这 
台 计 算 机 输出 就 被 关闭 。 接 下 来 从 另 一 台 蔡 代 计 算 机 输出 。 因 此 ，4 台 计 算 机 都 失效 而 飞行 
操作 依然 可 能 继续 。 在 15 年 多 的 运行 历程 中 ， 并 没有 报道 过 由 于 所 有 的 飞行 控制 系统 失效 
而 导致 飞行 器 失控 的 情况 。 

空中 客车 系统 的 设计 者 尝试 采用 多 种 方法 来 获得 多 样 性 。 

1. 主 飞行 控制 计算 机 使 用 与 次 飞行 控制 系统 不 同 的 处 理 带 。 

2. 主 系统 和 次 系统 的 每 一 个 通道 中 使 用 的 芯片 组 来 自 不 同 的 生产 商 。 

3. 次 飞行 控制 系统 中 的 软件 只 提供 最 紧要 的 功能 ， 因 此 比 主 控制 软件 要 人 简单 。 

4. 主 系统 和 次 系统 的 每 一 个 通道 的 软件 使 用 不 同 的 程序 语言 来 开发 ， 并 且 使 用 不 同 的 开 
发 团队 。 

5. 在 主 系统 和 次 系统 中 使 用 不 同 的 编程 语言 。 

如 11.3.4 节 要 讨论 的 ， 这 些 都 不 能 保证 多 样 性 ， 但 是 它们 减少 了 不 同 通道 共同 失效 的 
概率 。 


11.3.3 N 版 本 编程 


自 监控 系统 体系 结构 是 采用 多 版 本 编程 提供 软件 元 余 和 多 样 性 的 系统 的 例子 。 这 个 多 版 
本 编程 的 概念 源 自 人 硬件 系统 中 的 三 重 模块 匈 余 (Triple Modular Redundancy, TMR) 的 概念 。 
这 个 概念 已 经 在 构建 容许 硬件 失效 的 系统 中 用 了 很 多 年 COLA 11-9 )。 

在 一 个 TMR 系统 中 ， 和 硬件 单元 被 复制 3 次 (或 者 更 多 次 )。 每 一 个 单元 的 输出 被 送 到 一 
个 输出 比较 器 上 ， 这 个 比较 器 通常 实现 为 一 个 投票 系统 。 这 个 系统 比较 所 有 的 输入 ， 并 且 如 
果 两 个 或 者 更 多 的 输入 是 相同 的 ， 那么 其 值 就 是 输出 。 如 果 其 中 的 一 个 单元 失效 了 ， 并 且 产 
生 的 输出 与 其 他 单元 产生 的 输出 不 一 样 ， 那 么 输出 就 被 和 忽略。 故障 管理 器 可 能 自动 尝试 修改 
这 个 有 故障 的 单元 ， 但 如 果 做 不 到 的 话 ， 系 统 会 自动 地 重新 配置 ， 使 那个 发 生 故 障 的 单元 退 
出 服务 。 系 统 会 用 剩余 的 两 个 单元 继续 工作 下 去 。 

这 个 容错 方法 依赖 于 大 多 数 硬件 失效 是 由 于 构件 失效 造成 的 而 不 是 设计 故障 造成 的 。 这 
些 构 件 是 独立 失效 的 。 它 假设 在 正常 情况 下 ， 所 有 的 硬件 单元 都 是 按 规格 说 明 那 样 去 工作 
的 。 因 此 所 有 的 硬件 单元 同时 发 生 构件 失效 的 可 能 性 是 相当 低 的 。 

当然 ， 这 些 构件 可 能 都 有 一 个 普 裔 的 故障 ， 并 且 因 此 都 产生 同样 的 (错误 ) 答案 。 使 
用 共同 的 规格 说 明 但 由 不 同 生产 商 设 计 和 生产 硬件 单元 ， 这 样 会 降低 这 种 共同 模式 失效 
发 生 的 概率 。 这 一 点 所 基于 的 假设 是 不 同 的 团队 做 出 相同 的 设计 或 生产 错误 的 概率 是 很 
小 的 。 

在 容错 软件 中 我 们 可 以 使 用 相似 的 方法 ， 这 就 是 入 个 不 同 版 本 的 软件 系统 并 行 执 行 
(Avizienis 1995 )。 这 种 实现 软件 容错 的 方法 在 图 11-10 中 说 明 ， 其 被 用 于 铁路 信号 系统 、 航 
空 系统 以 及 反应 堆 保 护 性 系统 。 

使 用 共同 的 规格 说 明 ， 同 一 个 软件 系统 由 多 个 小 组 实现 ,这些 版 本 在 不 同 的 计算 机 
上 执行 ， 使 用 一 个 投票 系统 比较 它们 的 输出 ， 不 一 致 的 输出 或 者 未 能 及 时 产生 的 输出 被 拒 
绝 。 至 少 系统 的 3 个 版 本 应 该 是 可 用 的 ， 所 以 在 发 生 单个 失效 的 情况 下 两 个 版 本 应 该 是 一 
致 的 。 

在 需要 高 可 用 性 的 系统 中 ，X 版 本 编程 可 能 比 自 监控 体系 结构 要 便宜 一 些 。 然 而 它 仍然 
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需要 多 个 不 同 的 小 组 开发 多 个 软件 版 本 ， 这 导致 很 高 的 软件 开发 费用 。 因 此 ， 仅 在 无 法 为 安 
全 关键 系统 构造 保护 性 系统 的 时 候 ， 才 使 用 这 个 方法 。 





图 11-9 三 重 模块 元 余 图 11-10 N 版 本 编程 


11.3.4 软件 多 样 性 


所 有 以 上 的 容错 体系 结构 都 依赖 于 软件 的 多 样 性 以 获得 容错 功能 。 这 一 点 基于 的 假设 
是 : 同一 规格 说 明 (或 者 对 于 保护 性 系统 来 说 是 一 部 分 规格 说 明 ) 的 不 同 实现 之 间 是 相互 独 
立 的 。 它 们 不 应 该 包含 同样 的 错误 ， 这样 也 就 不 会 以 同样 的 方式 同时 失败 。 这 需要 软件 由 不 
同 的 小 组 来 编写 ， 而 这 些小 组 在 开发 过 程 中 不 应 该 交流 ， 从 而 降低 一 样 的 误解 或 对 规格 说 明 
误 读 的 概率 。 

采购 系统 的 企业 可 能 包含 明确 的 多 样 性 政策 ， 以 期 最 大 化 系统 版 本 之 间 的 差异 。 比 如 ; 

- L 需求 中 明确 要 求 使 用 不 同 的 设计 方法 。 比 如 ， 要 求 一 个 小 组 生产 一 个 面向 对 象 的 设 

计 ， 而 要 求 另 一 个 小 组 生产 一 个 面向 功能 的 设计 。 

2. 规定 程序 要 由 不 同 的 编程 语言 实现 。 比 如 ,使 用 Ada, C++ 和 Java 来 写 不 同 的 版 本 。 

3. 要 求 对 系统 的 开发 要 使 用 不 同 的 工具 和 不 同 的 开发 环境 。 

4. 明确 要 求 在 实现 的 某 些 部 分 用 不 同 的 算法 。 然 而 这 限制 了 设计 团队 的 自由 ， 并 可 能 因 
此 难以 与 系统 性 能 需求 相 吻 合 。 

理想 情况 下 ， 系 统 的 多 版 本 之 间 应 该 没有 依赖 性 ， 所 以 应 该 以 不 同 的 方式 失效 。 如 果 是 
这 样 ， 多 样 性 的 系统 的 总 可 靠 性 可 以 通过 每 一 个 通道 的 可 靠 性 相 乘 获得 。 所 以 ， 如 果 每 一 个 
通道 的 请 求 失效 概率 是 0.001， 则 一 个 三 通道 系统 (通道 之 间 独 立 ) 总 的 POFOD 比 一 个 单 通 
道 系统 的 可 靠 性 高 100 万 倍 。 

然而 现实 当中 ， 获 得 完全 独立 的 通道 是 不 可 能 的 。 实 验证 明 独 立 的 设计 小 组 经 常 犯 
同样 的 错误 或 者 对 规格 说 明 的 同一 部 分 都 理解 错 了 (Brilliant, Knight, and Leveson 1990; 
Leveson 1995 )。 这 有 以 下 几 个 原因 : i 

1. 不 同 小 组 的 成 员 经 常 来 目 同 一 个 文化 背景 ， 并 可 能 在 受 教育 时 使 用 同样 的 教科 书 。 这 
意味 着 他 们 可 能 觉得 很 难 理解 的 事情 是 类 似 的 ， 并 且 可 能 同样 觉得 与 领域 专家 交流 很 困难 。 
很 可 能 他 们 各 上 自 犯 下 的 错误 和 设计 的 算法 都 是 一 样 的 。 

2. 如 果 需 求 是 不 正确 的 ， 或 者 基于 对 系统 环境 的 误解 ， 那 么 这 些 错 误 将 会 反映 到 系统 的 
每 一 个 实现 上 。 

3. 在 关键 系统 中 ,. 详细 系统 规格 说 明 是 基于 系统 需求 得 到 的 ， 应 该 明确 无 歧义 地 描述 系 
统 行为 。 如 果 规 格 说 明 含糊 不 清 ， 那 么 不 同 的 团队 可 能 以 同样 的 方式 曲解 规格 说 明 。 

一 种 有 可 能 减少 共同 规格 说 明 错 误 发 生 的 方法 是 开发 详细 的 规格 说 明 ， 即 独立 地 开发 详 
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. 细 规 格 说 明 ， 并 使 用 不 同 语言 进行 描述 。 一 个 开发 团队 可 能 依据 形式 化 规格 说 明 来 开发 ， 而 
男 一 个 依据 基于 状态 的 系统 模型 来 开发 ， 而 第 三 个 依据 自然 语言 规格 说 明 来 开发 。 这 可 以 避 
免 一 些 规 格 说 明理 解 的 错误 ， 但 无 法 避免 需求 错误 的 问题 。 在 理解 需求 的 时 候 也 可 能 引入 错 
误 ， 从 而 导致 不 一 致 的 规格 说 明 。 

通过 对 实验 的 分 析 ，Hatton ( Hatton 1997) 总 结 得 出 : 一 个 三 通道 系统 大 约 比 单 通道 系 
统 的 可 靠 性 高 $S 一 9 倍 。 他 认为 ， 试 图 通过 对 单个 版 本 投入 更 多 资源 以 增进 可 靠 性 是 达 不 到 
目的 的 ， 所 以 N 版 本 方法 比 单 版 本 方法 更 有 可 能 产生 更 可 靠 的 系统 。 

然而 不 能 确定 的 是 ， 通 过 多 版 本 增加 可 靠 性 的 额外 开发 费用 是 否 值得 。 对 于 很 多 系统 来 
说 ， 这 样 的 额外 花 销 可 能 是 不 合理 的 ， 因 为 一 个 设计 良好 的 单 通道 系统 或 许 已 经 足够 了 了 。 只 
有 在 安全 关键 和 任务 关键 的 系统 中 ， 由 于 失效 的 代价 是 高 昂 的 ， 才 真正 需要 多 版 本 软件 。 即 
使 在 这 样 的 情况 下 (比如 航天 系统 )， 提 供 一 个 有 限 的 、 功 能 简单 的 备份 直到 主 系统 能 够 被 
修复 并 且 重 启 ， 可 能 也 就 足够 了 。 


11.4 ”可靠 性 编程 


总 的 来 说 ， 本 书 没有 讨论 编程 问题 ， 因 为 在 没有 涉及 编程 语言 的 具体 细节 的 情况 下 讨论 
编程 问题 几乎 是 不 可 能 的 。 现 在 有 很 多 方法 和 语言 应 用 在 软件 开发 过 程 中 ， 所 以 本 书 避 免 用 
某 一 种 语言 为 例 。 然 而 ， 当 考虑 到 可 靠 性 工程 时 ， 有 一 套 已 经 被 接受 的 好 的 编程 实践 ， 它 们 
的 应 用 相当 普遍 而 且 可 以 减少 交付 系统 中 的 故障 。 

图 11-11 显示 了 一 个 好 的 实践 指导 准则 的 列表 。 | 可 依赖 性 编程 指南 
它们 可 以 应 用 在 任何 一 种 系统 开发 使 用 的 语言 中 ， 尽 “| 1 限制 程序 中 信息 的 可 见 性 。 
管 它们 所 使 用 的 方式 取决 于 系统 开发 所 使 用 的 特定 语 | 2 ERT AAW A AE, 


bs 3. 为 所 有 的 异常 提供 处 理 程序 。 
言 和 符号 系统 。 遵 循 这 些 准 则 还 可 以 降低 程序 中 出 现 | 4. 尽 可 能 不 使 用 容易 出 错 的 结构 。 


安全 相关 的 故障 或 漏洞 的 可 能 性 。 nee 
准则 1: 限制 程序 中 信息 的 可 见 性 7. 调用 外 部 构件 时 加 入 超时 处 理 功能 ， 


军事 机 构 中 采用 的 一 个 信息 安全 原则 是 所 谓 的 ”| 9 为 每 一 个 表示 现实 世界 值 的 常量 命名 。 
“需要 知道 ”原则 。 只 有 那些 需要 了 解 茶 条 信息 以 便 
执行 任务 的 人 才 给 予 此 条 信息 。 夺 信息 不 与 他 们 的 工 
作 直 接 相 关 就 不 会 给 予 他 们 。 

在 程序 设计 过 程 中 ， 也 要 用 类 似 的 原则 去 控制 访问 系统 所 使 用 的 变量 和 数据 结构 。 程 
序 构件 应 该 只 允许 访问 那些 与 自 映 实现 相关 的 数据 。 其 他 程序 数据 应 该 是 不 可 访问 的 ， 对 构 
件 是 隐藏 的 。 如 果 使 用 了 信息 隐藏 ， 隐 藏 的 信息 就 不 会 被 无 关 构 件 所 破坏 。 如 果 接 口 保持 不 
变 ， 数 据 表示 的 改变 将 不 会 影响 到 系统 中 的 其 他 构件 。 

在 程序 中 把 数据 结构 实现 为 抽象 数据 类 型 可 达到 上 述 目 的 。 抽 和 象 数据 类 型 的 内 部 结 
构 及 其 变量 表示 是 隐藏 的 ， 类 型 的 结构 和 属性 外 部 不 可 见 ， 对 数据 的 所 有 访问 要 通过 操作 
进行 。 , 

比如 ， 你 可 能 用 一 个 抽象 数据 类 型 来 表示 一 个 请 求 服务 的 队列 。 操 作 应 该 包括 get 
和 put， 也 就 是 问 队 列 里 加 入 成 员 项 或 者 从 队列 取出 成 员 项 ， 还 要 有 获得 队列 中 成 员 项 
数量 的 操作 。 可 以 在 最 初 将 这 个 队列 实现 为 一 个 数组 ， 但 接 下 来 又 将 其 改变 为 一 个 链表 。 
这 可 以 在 不 改变 针对 队列 的 任何 代码 的 前 提 下 实现 ， 因 为 队列 的 表示 永远 不 会 被 直接 
访问 。 





图 11-11 可 依赖 性 编程 的 良好 实践 指南 
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在 一 些 面向 对 象 的 语言 中 ， 可 以 使 用 接口 定义 实现 抽象 数据 类 型 ， 也 就 是 声明 一 个 对 
象 的 接口 而 不 引用 对 象 的 实现 。 比 如 ， 可 以 定义 一 个 接口 Queue， 支 持 将 对 象 加 入 队列 、 
从 队列 取出 对 象 、 计 算 队 列 的 大 小 等 。 在 实现 接口 的 对 象 类 中 ， 方 法 和 属性 都 应 该 是 类 私 
有 的 。 

准则 2: 检查 所 有 输入 的 有 效 性 

所 有 的 程序 都 是 从 它们 的 环境 中 获取 输入 并 处理 它们 。 规 格 说 明 所 做 的 假设 是 这 些 输入 
反映 了 它们 在 真实 世界 中 的 使 用 。 比 如 ， 可 以 假设 一 个 银行 账户 数字 总 是 8 位 正 整 数 。 可 是 
在 很 多 情况 下 ， 系 统 规格 说 明 没 有 定义 在 输入 错误 的 情况 下 应 该 采取 什么 样 的 动作 。 人 们 不 
可 避免 地 会 犯错 误 ， 有 时 候 会 输入 错误 的 数据 。 有 了 时候， 如 在 本 书 第 13 章 将 会 讨论 的 那样 ， 
对 系统 的 恶意 攻击 靠 的 就 是 错误 的 输 大 。 当 输入 是 从 传 感 希 或 者 其 他 系统 来 的 时 候 ， 这 些 系 
统 也 可 能 出 错 并 提供 不 正确 的 值 。 

因此 ， 每 一 次 从 程序 的 运行 环境 中 输入 数据 的 时 候 都 应 该 验证 输入 的 有 效 性 。 很 明显 这 
些 检 查 要 取决 于 输入 本 身 , 但 以 下 这 些 可 能 的 检查 还 是 会 用 到 。 

1. 范围 检查 。 可 以 认为 输入 应 该 在 一 个 特定 的 范围 之 内 。 比 如 ， 一 个 代表 概率 的 输入 应 
该 在 范围 0.0 ~ 1.0 之 间 ， 代 表 液 态 水 温度 的 输入 应 该 在 0 ~ 100%C 之 间 ， 等 等 。 

2. 位 数 检 查 。 输 入 可 以 被 看 成 是 固定 数量 的 字符 的 形式 (比如 8 位 字符 表示 的 银行 账 
户 )。 在 其 他 情况 ， 位 数 可 能 不 确定 但 是 可 能 有 一 个 现实 的 最 大 上 限 。 比 如 ， 人 名 的 字符 数 
应 该 不 会 超过 40 个 字符 。 

”” 3. 表示 检查 。 输 入 应 该 是 一 个 特定 的 样式 ， 以 一 种 标准 的 方式 表示 。 比 如 ， 人 名 不 应 该 
包 插 数字， 电子 邮件 由 两 部 分 组 成 并 以 @ 符号 分 开 ， 等 等 。 

4. 合理 性 检查 。 输 入 是 一 系列 输入 中 的 一 个 ， 而 你 知道 一 些 关 于 这 些 输入 之 间 的 关系 ， 
这 样 就 可 以 检查 输入 值 是 否 是 合理 的 。 比 如 ,输入 值 代表 一 个 家 庭 用 电 电 表 的 读数 ， 那 么 可 
以 认为 用 电量 应 该 大 致 与 前 一 年 同期 用 电量 相仿 。 当 然 ， 变 化 是 会 有 的 ,但 是 巨大 的 变化 往 
往 意味 着 发 生 了 问题 。 

输入 有 效 性 检查 失败 的 时 候 ， 所 要 采取 的 措施 取决 于 所 实现 系统 的 类 型 。 在 某 些 情况 
下 ， 要 将 问题 报告 给 用 户 并 且 要 求 重新 输入 这 个 值 。 如 果 一 个 值 来 自传 感 器 ， 你 可 以 使 用 最 
近 的 有 效 值 。 在 能 人 式 实 时 系统 中 ， 你 可 能 必须 根据 历史 信息 来 估计 一 个 值 ， 这 样 系统 才能 
继续 执行 。 

准则 3: 为 所 有 的 异常 提供 处 理 程 序 

在 程序 执行 期 间 ， 错 误 或 者 难以 意料 的 事件 不 可 避免 会 发 生 。 这 些 事情 的 发 生 或 者 是 因 
为 一 个 程序 故障 ， 或 者 是 不 可 预料 的 外 部 环境 的 结果 。 在 程序 执行 期 间 错 误 或 不 可 预料 的 事 
件 被 称 作 “异常 ”。 异 常 的 例子 可 以 是 系统 电源 失效 、 企 图 访问 不 存在 的 数据 ， 或 者 是 数值 
上 淤 或 下 注 。 

异常 可 能 是 由 硬件 也 可 能 是 由 软件 情况 决定 的 。 当 一 个 异常 发 生 的 时 候 ， 必 须 由 系统 
来 处 理 。 这 一 点 可 以 由 程序 本 身 完 成 ， 或 者 在 系统 中 包含 一 个 对 系统 异常 处 理 的 转换 控制 机 
制 。 一 般 来 说 ， 系 统 的 异常 管理 机 制 会 报告 错误 并 关闭 执行 。 因 此 ， 为 保证 程序 异常 没有 引 
起 系统 失效 ， 应 该 为 所 有 可 能 发 生 的 异常 定义 一 个 异常 处 理 程 序 ， 并 保证 所 有 的 异 浓 能 被 探 
测 出 来 且 得 到 明确 的 处 理 。 | 

有 一 些 编程 语言 ， 比 如 Java, C++ 和 Python， 包 含 支持 异常 处 理 的 内 部 结构 。 当 一 种 
异常 情况 发 生 时 ， 产 生 异 常 信号 而 语言 运行 时 系统 将 控制 转移 到 异常 处 理 程序 。 这 是 一 个 声 
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明 异 常 名 字 并 对 每 个 异常 提供 相应 的 处 理 动作 的 代码 段 ( 见 图 11-12 )。 注 意 异常 处 理 程序 是 
在 正常 的 控制 流 之 外 存在 的 ， 而 这 个 正常 的 控制 流 不 会 在 异常 处 理 
之 后 恢复 执行 。 代码 段 

异常 处 理 程序 通常 做 以 下 3 件 事情 中 的 一 件 : 

1. 向 更 高 层 构件 发 送信 号 报告 一 个 异常 已 经 发 生 ， 并 提供 异常 
类 型 的 信息 。 当 一 个 构件 调用 另 一 个 构件 的 时 候 使 用 这 个 方法 ， 发 
出 信号 的 构件 必须 知道 被 调用 的 构件 是 不 是 成 功 执行 了 。 如 果 没 有 ， 
要 由 调用 构件 采取 动作 来 从 这 个 问题 中 恢复 。 

2. 实现 一 些 代替 处 理 来 替换 原始 准备 的 处 理 。 这 样 ， 异 常 处 理 
程序 要 采取 一 些 措施 来 从 问题 中 恢复 。 处 理 过 程 能 如 平常 一 样 继续 ，。 枣 RAT 
或 者 异常 处 理 程序 能 指示 一 个 异常 已 经 发 生 以 提醒 调用 构件 问题 的 me pn 
存在 。 

3. 将 控制 传递 到 能 处 理 异 常 的 编程 语言 运行 时 支持 系统 。 当 程序 发 生 故 障 的 时 候 ( 比 
如 ， 发 生 一 个 数值 溢出 )， 这 经 常 是 默认 的 处 理 。 通 常 运行 时 系统 采取 的 动作 是 暂停 处 理 过 
程 。 在 将 控制 转 给 运行 时 系统 之 前 ， 如 果 能 将 系统 转移 至 一 个 安全 和 静止 的 状态 ， 这 是 唯一 
应 该 使 用 的 方法 。 

在 程序 中 处 理 异常 使 得 检测 和 恢复 一 些 输入 错误 以 及 未 预料 到 的 外 部 事件 成 为 可 能 。 从 
某 种 意义 上 讲 ， 它 提供 了 一 种 容错 层次 一 程序 探测 到 故障 并 且 能 够 采取 动作 进行 恢复 。 因 
为 大 多 数 的 输入 错误 和 未 预料 的 外 部 事件 通常 都 是 瞬 态 的 ， 所 以 往往 在 异常 得 以 处 理 之 后 可 
以 继续 正常 运行 。 

准则 4: 尽 可 能 不 使 用 容易 出 错 的 编程 元 素 






探测 到 异常 






O 容易 出 销 的 编程 元 素 
与 其 他 编程 语言 相 比 ， 一 些 编程 语言 特征 更 可 能 导致 程序 错误 的 引入 。 如 果 避 免 使 
用 这 些 结构 ， 程 序 可 靠 性 可 能 会 得 到 改善 。 只 要 有 可 能 ， 应 该 尽量 减少 go 语句 、 浮 点 
数 、 指 针 、 动 态 内 存 分 配 、 并 行 、 递 归 、 中 断 、 别 名 、 无 界 数 组 和 默认 输入 处 理 的 使 用 。 


http://software-engineering-book.com/web/error-prone-constructs/ 







程序 中 的 故障 源 于 人 所 犯 的 错误 ， 它 们 进而 造成 很 多 程序 失效 。 程 序 员 因 未 能 很 好 跟 
踪 状 态 变 量 之 间 的 很 多 关系 而 犯错 误 ， 他 们 写 的 程序 语句 导致 未 预料 到 的 行为 和 系统 状态 改 
变 。 人 们 总 是 会 犯错 ,但 在 20 世纪 60 年 代 末 期 ， 人 们 逐渐 认识 到 了 有 些 编程 方法 比 其 他 编 
程 方 法 更 容易 向 程序 中 引入 错误 。 

例如 ， 应 该 尝试 避免 使 用 浮 点 数 ， 因 为 浮 点 数 的 精度 会 受到 其 硬件 描述 的 限制 。 比 较 非 
党 大 或 非常 小 的 数 是 不 可 徘 的 。 男 一 个 可 能 出 错 的 结构 是 动态 分 配 内 存 ， 当 该 内 存 不 需要 时 
很 容易 忘记 释放 ， 这 可 能 导致 难以 检测 的 运行 时 错误 。 

有 些 安全 关键 系统 的 开发 标准 完全 禁止 这 些 元 素 的 使 用 。 不 过 ， 这 种 极端 做 法 有 时 也 是 
不 实际 的 。 这 些 结构 和 技术 是 很 有 用 的 ， 但 必须 小 心 使 用 。 只 要 有 可 能 ， 就 应 该 在 抽象 数据 
类 型 或 对 象 中 使 用 这 类 结构 ， 从 而 控制 潜在 的 危险 。 如 果 错 误 发 生 ， 抽 象 数据 类 型 和 对 象 就 
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担当 了 了 类似“ 防火 墙 ”的 角色 ， 限 制 了 损失 的 程度 。 

准则 5: 提供 重启 功能 

很 多 机 构 信 息 系 统 都 是 基于 短 事务 的 ， 处 理 用 户 的 输入 需要 较 短 的 时 间 。 这 些 系 统 被 
设计 成 仅 当 所 有 的 过 程 都 成 功 完成 之 后 才 做 出 对 系统 数据 库 的 改动 。 如 果 在 处 理 的 过 程 中 有 
错误 ， 数 据 库 将 不 会 被 更 新 ， 因 此 不 会 出 现 不 一 致 的 情况 。 事 实 上 ， 对 于 所 有 的 电子 商务 系 
统 ， 只 要 是 你 在 最 后 屏 笑 上 确认 你 所 购 丑 的 东西 ， 都 是 以 这 种 方式 工作 的 。 

用 户 与 电子 商务 系统 的 交互 总 是 持续 几 分 钟 时 间 并 只 包含 很 少 的 处 理 。 数 据 库 事务 很 
RL, 并 且 通 第 可 以 在 1 秒 内 完成 。 然 而 其 他 种 类 的 系统 比如 CAD 系统 和 文字 处 理 系统 会 包 
含 长 事务 。 在 长 事务 系统 中 ,开始 使 用 系统 到 结束 任务 可 能 要 花费 几 分 钟 甚至 几 小 时 。 如 果 
系统 在 长 事务 中 发 生 失 效 ， 那么 所 有 的 工作 可 能 都 会 丢失 。 相 似 地 ， 在 计算 密集 型 系统 中 ， 
比如 一 些 科学 计算 系统 ， 可 能 需要 几 分 钟 甚至 几 小 时 才能 完成 计算 。 如 果 发 生 系 统 失效 ， 那 
么 所 有 的 时 间 都 将 日 费 。 

在 也有 这 类 系统 中 ， 应 该 提供 一 个 重 局 功能 ， 目 的 是 保持 在 处 理 过 程 中 收集 或 生成 的 数 
据 的 副本 。 重 局 功能 应 该 允许 系统 使 用 这 些 副本 重新 开始 ， 而 不 是 从 头 开始 。 这 些 副本 有 时 


1. 在 电子 商务 系统 中 ， 可 以 保存 用 户 所 填 的 表单 ， 并 允许 他 们 访问 和 提交 这 些 表单 而 无 
须 让 他 们 再 次 填写 。 

2. 在 长 事务 或 计算 密集 型 系统 中 ， 可 以 每 几 分 钟 自动 保存 数据 ， 并 且 在 系统 失效 的 时 候 
使 用 最 近 保 存 的 数据 重新 开始 。 同 时 ， 应 该 允许 用 户 错误 ， 提 供 一 种 用 户 能 够 返回 到 最 近 的 
检查 点 并 从 那里 重新 开始 的 方法 。 

如 果 异 常 发 生 而 且 正 常 的 操作 无 法 再 继续 下 去 ， 可 以 使 用 向 后 错误 恢复 来 处 理 异常 。 这 
意味 着 要 将 系统 状态 重 置 为 检查 点 处 保存 的 状态 ， 并 从 这 个 点 重启 操作 。 

准则 6: 检查 数组 边界 

所 有 的 程序 语言 都 允许 开发 数组 规格 说 明 ， 即 使 用 一 个 数字 索引 访问 一 个 线性 数据 结 
构 。 这 些 数组 通常 设置 在 程序 工作 内 存 的 一 个 连续 区 域 。 数 组 被 描述 成 一 种 特定 的 长 度 ， 其 
长 度 反 映 出 它们 是 如 何 被 使 用 的 。 比 如 ， 要 表示 不 超过 10 000 个 人 的 年 龄 ， 那 么 可 能 会 声 
明 一 个 包含 10 000 个 存储 年 龄 数据 的 数组 。 

一 些 编程 语言 ， 比 如 Java， 在 每 次 对 数组 输入 值 的 时 候 都 做 检查 ， 检 查 索 引 是 否 在 数 
组 当中 。 所 以 如 果 一 个 数组 A 的 索引 是 从 0 一 10 000， 试 图 访问 元 素 A[ -5 ] A A [12345 | 
会 导致 异常 的 发 生 。 然 而 编程 语言 如 C 和 C++ 不 会 自动 地 进行 数组 边界 检查 ， 而 仅仅 简单 
地 计算 一 个 从 数组 的 开始 位 置 算 起 的 偏 移 量 。 因 此 ，A [ 12345 ] 会 访问 从 数组 开始 位 置 计 
算 的 第 12345 个 位 置 的 字 ， 不 管 这 个 字 是 不 是 数组 的 一 部 分 。 

这 些 语 言 不 进行 目 动 数组 边界 检查 的 原因 是 ， 这 会 在 每 次 数组 访问 的 时 候 引 入 额外 开 
文 。 大 部 分 数组 访问 是 正确 的 ， 所 以 边界 检查 多 数 情况 下 是 不 必要 的 ， 并 且 会 增加 程序 的 执 
行 时 间 。 然 而 缺少 边界 检查 会 导致 信息 安全 漏洞 ， 比 如 第 13 章 将 介绍 的 缓冲 溢出 。 更 常见 
的 是 ， 它 会 向 系统 引入 脆弱 性 而 可 能 导致 系统 失效 。 如 果 你 在 使 用 没有 数组 边界 检查 的 语 
言 ， 如 C 或 C++， 你 就 要 增加 额外 代码 来 保证 数组 的 索引 是 在 边界 之 内 。 

准则 7: 调用 外 部 构件 时 加 入 超时 处 理 功能 

在 分 布 式 系统 中 ， 系 统 的 构件 在 不 同 的 计算 机 上 执行 ， 调 用 要 在 网 络 上 从 一 个 构件 传送 
到 另 一 个 构件 。 为 获得 一 些 服务 ， 构 件 A 可 以 调用 构件 B。A 在 继续 执行 之 前 等 待 B 的 响 
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应 。 但 是 如 果 构 件 B 由 于 某 些 原 因 没 能 做 出 响应 ， 那 么 构件 A 就 不 能 继续 执行 。 它 会 为 一 
个 响应 无 限 等 待 下 去 。 等 待 系统 响应 的 人 看 到 的 是 一 个 沉默 的 没有 任何 响应 的 系统 失效 。 没 
有 别 的 办 法 ， 只 能 结束 等 待 进程 并 重启 系统 。 

为 了 避免 这 样 ， 调 用 外 部 构件 的 时 候 应 该 总 是 包含 超时 机 制 。 超 时 是 自动 地 假设 一 次 构 
件 调用 已 经 失效 并 不 会 产生 响应 。 你 要 定义 一 个 期 待 从 被 调用 构件 接收 到 响应 的 时 间 段 。 如 
果 没 有 在 这 个 时 间 段 里 接收 到 响应 ， 可 以 认为 调用 已 经 失效 并 从 被 调用 构件 那里 收回 调用 。 
你 可 以 接 下 来 尝试 从 失效 中 恢复 ， 或 告诉 系统 用 户 发 生 了 什么 事情 和 人 允许 他 们 做 什么 。 

准则 8: 为 每 一 个 代表 现实 世界 值 的 常量 命名 

所 有 不 是 太 简 单 的 程序 都 包含 一 定数 量 的 常量 值 来 表示 真实 世界 实体 的 值 。 这 些 值 不 会 
随 着 程序 的 执行 而 改变 。 有 时 候 ， 它 们 是 从 不 改变 的 常量 (比如 光 的 速度 )， 但 是 更 多 的 情 
况 下 ， 它 们 是 随时 间 变 化 相对 缓慢 改变 的 值 。 比 如 ， 一 个 计算 个 人 所 得 税 的 程序 将 会 包含 表 
示 当 前 税率 的 常量 。 这 些 常量 将 会 年 复 一 年 地 变化 ， 所 以 程序 必须 用 新 的 常量 值 进行 更 新 。 

应 该 在 程序 中 加 入 一 个 片段 ， 用 来 命名 所 有 用 到 的 现实 世界 常量 值 。 当 使 用 常量 的 时 
候 ， 你 应 该 用 名 字 而 不 是 值 来 指 代 它们 。 考 虑 到 可 依赖 性 ， 这 样 做 有 两 点 好 处 。 

1. 可 以 少 犯错 误 或 少 使 用 错误 的 值 。 我 们 很 容易 打 错 一 个 数字 ， 系 统 往往 不 能 发 现 这 个 
错误 。 比 如 税率 是 34%， 一 个 很 简单 的 换 位 错误 可 能 导致 将 其 误 打 成 43%。 但 是 如 果 你 错 
打 了 一 个 名 字 (如 标准 税率 )， 编 译 器 通常 都 可 以 因 未 声明 该 变量 而 将 其 探测 出 来 。 

2. 当 一 个 值 改变 的 时 候 ， 你 不 用 查找 整个 程序 来 发 现在 哪里 使 用 过 这 个 值 。 你 所 需要 做 
的 仅仅 是 改变 与 这 个 值 相 关 的 常量 声明 ， 新 的 值 会 自动 在 任何 需要 的 地 方 出 现 。 


11.5 “可靠 性 度量 


为 评估 系统 可 靠 性 ， 需 要 获取 系统 运行 的 数据 。 数 据 需 求 可 能 包括 : 

1. 对 给 定数 量 的 系统 服务 请 求 统 计 系 统 失 效 的 次 数 。 这 是 用 来 测量 POFOD 指 
标的 ， 并 且 不 考虑 做 出 请 求 的 时 间 变 化 因素 。 

2. 系统 失效 间隔 时 间 (或 事务 处 理 的 数目 )， 以 及 总 的 时 间或 者 总 的 事务 处 理 次 数 。 这 
是 用 来 测量 ROCOF 和 MTTF 的 。 

3. 系统 失效 导致 不 能 提供 服务 之 后 的 维修 和 重启 所 需 的 时 间 。 这 是 用 来 测量 可 用 性 的 。 
可 用 性 不 仅 取决 于 失效 间隔 时 间 ， 而 且 取 决 于 系统 恢复 运行 的 时 间 。 

在 这 些 度量 中 使 用 的 时 间 单 位 可 以 是 日 历时 间或 诸如 事务 数量 等 离散 单位 。 对 于 连续 运 
行 的 系统 ， 应 该 使 用 日 历时 间 。 监 视 系统 ， 比 如 报警 系统 和 其 他 种 类 的 过 程控 制 系统 也 归 为 
这 个 类 别 。 因 此 ，ROCOF 可 能 是 每 天 的 失效 数 。 处 理 诸 如 银行 ATM 或 航空 预订 系统 事务 
的 系统 的 负载 在 一 天 之 中 会 不 断 变化 。 在 这 些 情 况 下 ， 使 用 的 “时 间 ” 单 位 可 以 是 交易 的 数 
量 ; 也 就 是 说 ，ROCOF 将 是 每 X 千 个 事务 中 失败 的 事务 的 数量 。 

可 靠 性 测试 是 度量 系统 可 靠 性 的 一 个 测试 过 程 。 已 经 有 一 些 可 靠 性 量度 指标 ， 像 请 求 失 
效 概率 (POFOD) 和 失效 发 生 率 (ROCOF )， 用 于 量化 所 需 软 件 的 可 靠 性 。 如 果 系 统 已 经 达 
计 测 试 ( 见 图 11-13 )。 统 计 测 试 过 程 适 用 


到 了 要 求 的 可 靠 性 水 平 ， 可 以 在 可 靠 性 测试 过 程 中 得 到 验证 。 
于 可 靠 性 测量 而 不 是 故障 查找 。Prowell 等 人 ee 


测量 系统 可 靠 性 的 过 程 有 时 被 称 为 统 
人 (Prowell et al. 1999 ) 在 他 们 关于 净 室 图 11-13 可靠 性 测量 的 统计 测试 
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软件 工程 的 书 中 给 出 了 统计 测试 的 民 好 描述 。 

在 统计 测试 过 程 中 有 4 个 阶段 。 

1. 从 研究 已 经 存在 的 同一 类 型 系统 开始 ， 理 解 这 些 系统 在 实践 中 是 怎样 被 使 用 的 。 这 很 
重要 ， 因 为 必须 通过 系统 用 户 的 使 用 来 度量 其 可 靠 性 。 目 的 是 建立 运行 概况 。 运 行 概况 要 找 
出 系统 输入 的 分 类 ， 以 及 这 些 输入 将 在 正常 使 用 中 出 现 的 可 能 性 。 

2. 构造 一 个 能 反映 运行 概况 的 测试 数据 集 。 这 就 是 说 要 获得 具有 相同 概率 分 布 的 测试 数 
据 作 为 所 研究 系统 的 测试 数据 。 通 稼 可 以 使 用 测试 数据 生成 硕 得 到 测试 数据 。 

3. 使 用 上 面 生成 的 测试 数据 对 系统 进行 测试 、 记 录 发 现 的 失效 和 每 个 失效 类 型 发 生 的 次 
数 。 正 如 第 10 章 所 讨论 的 ， 所 采用 的 时 间 单 位 应 该 适合 相应 的 可 靠 性 度量 。 

4. 当 观 察 到 相当 数量 的 失效 后 ， 软 件 的 可 徘 性 就 可 以 计算 了 ， 并且 可 以 计算 出 适当 的 可 
靠 性 度量 值 。 

这 些 可 靠 性 测量 方法 虽然 在 理论 上 看 起 来 很 好 ， 但 是 在 实际 应 用 过 程 中 并 不 是 那么 
简单 。 

主要 困难 在 于 : 

1. 运行 概况 的 不 确定 性 。 运 行 概 况 可 能 无 法 精确 反映 系统 真实 的 使 用 情况 。 

2. 测试 数据 生成 的 高 成 本 。 生 成 运行 概况 中 所 需要 的 大 量 数据 是 非常 昂贵 的 ， 除 非 此 过 
程 完全 能 目 动 完成 。 | 

3, 高 可 靠 性 要 求 下 的 统计 不 确定 性 。 所 产生 的 故障 和 失效 数量 必须 具有 统计 显著 性 ， 从 而 确 
保 可 靠 性 测量 的 准确 性 。 当 软件 已 经 足够 可 靠 后 ， 会 发 生 的 故障 相对 较 少 并 且 很 难产 生 新 的 故障 。 

4. 识别 失效 。 系 统 失效 的 发 生 并 不 总 是 很 明显 。 如 果 你 有 一 个 形式 化 的 规格 说 明 ， 也 许 
能 够 从 中 确定 偏差 。 但 是 ， 如 果 规 格 说 明 是 自然 语言 ， 由 于 其 可 能 具有 二 义 性 ， 观 察 者 可 能 
在 系统 是 否 失 效 方面 存在 分 歧 。 

到 目前 为 止 ， 产生 大 测试 数据 集 的 最 好 方法 是 使 用 某 些 测试 数据 生成 恬 ， 这 些 测试 数据 
生成 需 能 自动 生成 运行 概况 中 规定 的 输入 类 型 的 测试 数据 。 然 而 ， 对 于 交互 式 系 统 却 不 总 是 
能 自动 产生 出 所 有 的 测试 数据 ， 因 为 输入 通 篆 是 对 系统 输出 的 响应 。 因 而 数据 需要 通过 手工 
设计 ， 这 项 工作 是 费用 很 高 的 。 即 使 有 些 地 方 可 以 实现 完全 上 自动 化 ， 编 写 测 试 数 据 生成 需 的 
命令 也 要 耗费 大 量 时 间 。 

统计 测试 可 结合 故障 注入 来 收集 数据 ， 以 说 明 故 障 测试 过 程 是 如 何 有 效 执行 的 。 故 障 注 
入 (Voas and McGraw 1997) 是 有 意 地 在 程序 中 植 人 错误 ， 当 程序 执行 时 ， 这 些 错 误 将 导致 
程序 故障 并 产生 相关 的 失效 。 然 后 我 们 分 析 失 效 ， 发 现 问题 的 根源 是 否 是 程序 中 所 植 人 错误 
中 的 一 个 。 如 果 发 现 X% 的 注入 故障 导致 了 失效 ,那么 故障 注入 的 支持 者 会 声称 ， 这 表明 故 
障 测试 过 程 也 会 在 程序 中 发 现 X% 的 实际 故障 。 






可 生性 增长 建 模 
可 靠 性 增长 模型 是 描述 系统 可 靠 性 在 测试 过 程 中 随时 间 变 化 的 模型 。 当 发 现 系 统 失 
效 时 ， 导 和 致 这 此 失效 的 潜在 故障 被 修复 ， 从 而 使 系统 的 可 靠 性 在 系统 测试 和 调试 期 间 得 到 
改善 。 为 了 预测 可 靠 性 ， 概 念 化 的 可 靠 性 增长 模型 必须 转化 为 数学 模型 。 


http://software-engineering-book.com/web/reliability-growth-modeling/ 






218 RRD AATRE ER ERE 


当然 ， 这 是 假设 注入 故障 的 分 布 及 类 型 和 实际 出 现 的 故障 是 一 致 的 。 对 由 于 编程 错误 产 
生 的 故障 来 说 ， 这 种 假设 应 该 是 合理 的 ， 但 是 故障 注入 在 预测 源 于 需求 和 设计 问题 等 其 他 原 
因 导致 的 故障 数量 时 并 不 有 效 。 


11.5.1 运行 概况 


软件 的 运行 概况 反映 软件 在 实际 过 程 中 将 如 何 使 用 。 它 包含 对 输入 类 型 的 描述 以 及 这 些 
输入 发 生 的 可 能 性 。 当 一 个 新 的 软件 系统 替换 已 存在 的 手工 作业 方式 或 自动 化 系统 时 ， 很 月 
然 地 就 能 得 到 新 软件 可 能 的 使 用 模式 。 新 软件 的 使 用 模式 应 该 大 致 上 和 现存 的 使 用 操作 模式 
相仿 ， 只 是 需要 根据 新 软件 所 提供 的 功能 进行 适当 调整 。 例 如 ， 对 于 一 个 电信 交换 系统 ， 可 
以 给 出 它 的 运行 概况 ， 因 为 通信 公司 知道 这 
个 系统 所 需要 处 理 的 调用 模式 。 

运行 概况 中 关于 输入 及 其 可 能 性 的 典型 
描述 如 图 11-14 所 示 。 那 些 发 生 概 率 极 高 的 
少数 输入 类 型 列 于 图 中 的 最 左 人 出， 还 有 大 量 
输入 类 型 ， 它 们 发 生 的 可 能 性 是 相当 低 的 ， 
但 又 不 是 不 可 能 发 生 的 ， 这 些 输入 类 型 列 于 
图 中 的 右 侧 ， 图 中 省 略 号 表示 该 图 并 未 详尽 
列 出 所 有 的 输入 类 型 。 

Musa ( Musa 1998 ) 讨论 了 在 他 所 从 事 
的 电信 和 领域 中 运行 概况 的 发 展 。 因 为 收集 用 法 数据 已 经 有 很 长 的 历史 了 ， 所 以 运行 概况 的 开 
发 过 程 相对 比较 简单 。 文 档 仅仅 反映 了 历史 的 用 法 数据 。 对 于 一 个 需要 大 约 15 人 年 方 能 开 
发 完成 的 系统 ， 运 行 概 况 大 约 需 要 1 人 月 就 可 以 完成 。 而 在 其 他 情形 中 ， 运 行 概 况 生 成 要 长 
得 多 (2~3 人 年 )， 当 然 ， 这 个 成 本 最 后 分 解 到 了 系统 多 个 发 布 版 本 中 。 

不 过 ， 当 一 个 软件 系统 是 新 的 或 者 有 所 创新 的 时 候 ， 预 期 它 将 如 何 使 用 是 很 困难 的 。 因 
此 ， 得 到 准确 的 运行 概况 是 不 太 可 能 的 。 用 户 对 系统 有 不 同 的 期 待 ， 他 们 的 背景 不 尽 相 同 ， 
而 且 他 们 也 会 有 不 同 的 经 验 ,- 没 有 可 以 沿袭 的 用 法 数据 库 。 计 算 机 用 户 对 系统 的 使 用 方式 往 
往 超出 设计 者 的 估计 。 

对 于 一 些 像 电 信 系 统 这 样 使 用 标准 化 模式 的 系统 来 说 ， 开 发 准确 的 运行 概况 是 完全 有 可 
能 的 。 然 而 ， 对 于 其 他 类 型 的 系统 ， 开 发 准确 的 运行 概况 可 能 是 困难 的 或 不 可 能 的 。 

1. 系统 可 能 有 许多 不 同 的 用 户 ， 每 个 用 户 都 有 自己 使 用 系统 的 方式 。 正 如 之 前 在 本 章 的 
解释 ， 因 为 用 户 以 不 同 的 方式 使 用 系统 ， 所 以 不 同 的 用 户 有 不 同 的 可 靠 性 印象 。 难 以 在 单个 
运行 概况 中 匹配 所 有 的 使 用 模式 。 

2. 用 户 会 随时 间 的 推移 而 改变 他 们 使 用 系统 的 方式 。 随 着 用 户 学 习 一 个 新 系统 并 对 其 更 
有 信心 ， 他 们 开始 以 更 复杂 的 方式 使 用 它 。 因 此 ， 在 用 户 熟 悉 系统 之 后 ， 与 系统 的 初始 使 用 
模式 匹配 的 运行 概况 可 能 不 再 有 效 。 

由 于 这 些 原因 ， 通 常 不 可 能 开发 一 个 完全 可 信赖 的 运行 概况 。 如 果 你 使 用 过 时 或 不 正确 
的 运行 概况 ， 则 你 不 能 确信 和 所 做 的 任何 可 靠 性 测量 的 准确 性 。 


EM 
o 软件 可 靠 性 可 以 通过 以 下 方法 实现 : 避免 引入 故障 ， 在 系统 部 署 之 前 检测 和 移 除 故 





图 11-14 运行 概况 中 的 输入 分 配 
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障 ， 引 入 在 系统 出 错 后 仍 允 许 系 统 保持 可 操作 的 容错 设施 。 
e 可 靠 性 需求 应 该 在 系统 需求 规格 说 明 中 量化 定义 。 可 靠 性 量度 包括 请 求 失效 概率 
(POFOD)、 失 效 发 生 率 (ROCOF) 以 及 可 用 性 (AVAIL). 
o 功能 性 可 靠 性 需求 是 系统 功能 性 的 要 求 ， 例 如 检查 和 宛 余 需求 ， 这 有 助 于 系统 满足 
其 非 功能 性 可 靠 性 需求 。 
可 依赖 系统 体系 结构 是 为 容错 设计 的 系统 体系 结构 。 有 很 多 种 体系 结构 风格 支持 容 
错 ， 包 插 保 护 性 系统 、 自 监控 系统 体系 结构 入 版 本 编程 。 
实现 软件 多 样 性 很 难 ， 因 为 现实 中 不 能 保证 软件 的 每 个 版 本 都 是 真正 独立 的 。 
可 依赖 编程 利用 程序 中 包含 元 余 来 检查 输入 的 有 效 性 和 程序 变量 的 值 。 
统计 测试 用 来 估计 软件 可 靠 性 。 它 采用 与 运行 概况 相 匹 配 的 测试 数据 对 系统 进行 测 
试 ， 这 个 测试 数据 集 反 映 软 件 在 使 用 时 的 输入 分 布 。 


阅读 推荐 

《 Software Fault Tolerance Techniques and Implementation 》 全 面 讨论 了 容错 技术 和 容错 
体系 结构 。 该 书 还 覆盖 了 关于 软件 可 依赖 性 的 更 一 般 性 的 问题 。 可 靠 性 工程 是 一 个 成 熟 的 领 
w, 这 里 所 讨论 的 技术 仍然 有 现实 意义 。(L. L. Pullum, Artech House, 2001 ) 

《 Software Reliability Engineering: A Roadmap 》 这 篇 由 软件 可 靠 性 方面 的 引领 研究 者 
所 写 的 综述 论文 总 结 了 软件 可 靠 性 工程 的 发 展现 状 ， 并 讨论 了 该 领域 的 研究 挑战 。( M. R. 
Lyu, Proc. Future of Software Engineering, IEEE Computer Society, 2007 ) http://dx.doi. 
org/10.1109/FOSE.2007.24 

《 Mars Code 》 这 篇 论文 讨论 了 好 奇 号 火星 探测 器 的 软件 开发 中 所 使 用 的 可 靠 性 工程 
方法 。 其 中 依赖 于 良好 的 编程 实践 、 宛 余 、 模 型 检测 (在 第 12 章 中 介绍 ) 的 使 用 。( G. J. 
Holzmann, Comm. ACM., 57(2), 2014 ) http://dx.doi.org/10.1145/2560217.2560218 


网 站 
本 间 的 PPT: http://software-engineering-book.com/slides/chap11/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/reliability-and-safety/ 


关于 空中 客车 飞行 控制 系统 的 更 多 信息 : http://software-engineering-book.com/case-studies/ 
airbus-340/ 


练习 


11.1 ”如 果 可 靠 性 规格 说 明 表示 为 系统 整个 生命 周期 中 非常 少量 的 失效 ， 解 释 为 什么 验证 这 
样 的 可 靠 性 实际 上 是 不 可 行 的 。 

11.2 ”为 下 列 软 件 系 统 提出 合适 的 可 靠 性 度量 。 为 你 的 选择 给 出 合适 的 理由 。 对 这 些 系统 的 
用 法 给 出 预测 ， 并 给 出 这 些 可 靠 性 度量 的 合适 的 值 : 
© 医院 特 护 病房 中 监控 病人 的 系统 ; 
o 字 处 理 器 ; 

自动 售卖 机 控制 系统 ; 

汽车 制 动 控制 系统 ; 

制冷 部 件 控制 系统 ; 
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11.3 


11.8 
11.9 
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如 果 火 车 在 某 个 路 段 上 的 时 速 超过 了 限 值 ， 或 者 火车 正在 进入 某 个 红 灯 亮 的 路 段 ( 例 
如 ， 该 路 段 不 允许 驶 人 ) 的 时 候 ， 火 车 的 保护 系统 就 会 目 动工 作 。 选 择 用 于 描述 这 个 
系统 所 要 求 的 可 徘 性 的 可 徘 性 度量 ， 为 你 的 党 案 给 出 理由 。 

什么 是 支持 软件 容错 的 体系 结构 风格 的 共有 特性 ? 

想象 你 在 实现 一 个 基于 软件 的 控制 系统 。 提 出 一 种 环境 使 其 适合 使 用 一 个 容错 结构 ， 
解释 为 什么 需要 这 种 方法 。 

你 负责 设计 一 个 通信 交换 机 ， 必 须 提 供 24/7 的 可 用 性 ， 但 这 不 是 一 个 安全 关键 系统 。 
给 出 你 答案 的 理由 ， 并 建议 一 种 可 以 用 在 这 个 系统 上 的 体系 结构 风格 。 

有 人 建议 在 治疗 瘤 症 的 射线 理疗 仪 的 控制 软件 开发 中 使 用 和 N 版 本 编程 。 你 认为 这 是 否 
是 一 个 好 的 提议 ,说 明 原 因 。 

为 什么 基于 软件 多 样 性 设计 的 不 同 的 系统 版 本 都 会 经 历 同 样 的 失败 ? 

为 什么 应 该 在 可 用 性 要 求 极 高 的 系统 中 对 所 有 的 异常 进行 明确 处 理 ? 


11.10 软件 失效 可 能 对 软件 的 用 户 造成 相当 大 的 不 便 。 公 司 已 知 软件 中 包含 可 导致 软件 失 


效 的 故障 ， 还 发 布 这 样 的 软件 是 否 符 合 伦理 ?他 们 是 否 应 该 对 用 户 因 软 件 失效 造成 
的 损失 负责 ? 正如 生产 厂家 需要 对 所 卖 的 产品 提供 保修 服务 一 样 ， 法 律 是 否 应 要 求 
软件 公司 提供 软件 保修 ? 
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目标 
本 章 的 目标 是 解释 在 开发 关键 系统 时 用 来 确保 安全 性 的 技术 。 阅 读 完 本 章 后 ， 你 将 : 
e 理解 安全 关键 系统 的 含义 ， 以 及 在 关键 系统 工程 领域 为 何必 须 将 安全 性 与 可 靠 性 分 
开 考 虑 ; 

。 理解 如 何 使 用 危险 分 析 提 取 安 全 需求 ; 

o 了 解 用 于 软件 安全 保证 的 过 程 和 工具 ; 

e 理解 用 于 加 监管 机 构 证 明 系 统 安全 的 安全 案例 概念 ， 以 双 在 安全 案例 中 如 何 使 用 形 

式 论证 。 

在 本 书 的 11.2 节 中 ， 简 要 描述 了 一 架空 中 客车 在 华沙 机 场 着 陆 时 发 生 的 空难 。 这 起 空 
难 导 致 2 人 死亡 ，$4 人 受伤 。 随 后 的 调查 表明 ， 这 起 事故 的 主要 原因 是 控制 软件 的 失效 ， 
降低 了 飞机 制 动 系 统 的 效率 。 这 是 一 个 罕见 的 、 软 件 系统 的 行为 导致 死亡 或 受伤 的 例子 。 它 
说 明 ， 当 今 软件 是 许多 系统 的 核心 组 成 部 分 ， 对 于 维护 和 维持 生命 至 关 重 要 。 这 就 是 安全 关 
键 软 件 系统 ， 人 们 已 经 为 安全 关键 软件 工程 开发 了 一 系列 专门 的 方法 和 技术 。 

正如 第 10 章 中 讨论 的 ， 安 全 性 是 主要 的 可 依赖 性 属性 之 一 。 如 果 系 统 在 没有 灾难 性 失 
效 的 情况 下 运行 ， 即 没有 导致 或 可 能 导致 人 员 死 亡 或 受伤 的 失效 ， 则 可 以 认为 该 系统 是 安全 
的 。 因 为 环境 损害 (例如 化 学 品 泄漏 ) 可 能 导致 后 续 的 人 身 伤 害 或 死亡 ， 所 以 那些 自身 失效 
可 能 导致 环境 损害 的 系统 也 是 安全 关键 的 。 

安全 关键 系统 中 的 软件 在 实现 安全 性 方面 发 挥 着 双重 作用 。 

1. 因为 系统 一 般 是 由 软件 控制 的 ， 使 得 软件 做 出 的 决定 和 随后 的 行动 都 是 安全 关键 的 。 
因此 ， 软 件 行为 与 系统 的 整体 安全 性 直接 相关 。 

2. 软件 广泛 用 于 检查 和 监控 系统 中 的 其 他 安全 关键 构件 。 例 如 ， 所 有 飞机 发 动机 部 件 由 
软件 监控 ， 以 寻找 部 件 失效 的 早期 指示 。 如 果 当 软件 运行 失效 ， 其 他 构件 可 能 会 失效 并 导致 
事故 的 时 候 ， 这 个 软件 就 是 安全 关键 的 。 

软件 系统 的 安全 性 是 通过 了 解 可 能 导致 安全 相关 失效 的 情况 实现 的 。 软 件 的 设计 使 得 这 
种 失效 不 会 发 生 。 因 此 ， 你 可 能 认为 如 果 安 全 关键 系统 是 可 靠 的 并 且 按照 指定 的 情况 运行 ， 
则 它 将 是 安全 的 。 不 幸 的 是 ， 并 没 这 么 简单 。 系 统 可 靠 性 对 于 安全 实现 是 必要 的 ， 但 是 还 不 
够 。 可 靠 的 系统 可 能 是 不 安全 的 ， 反 之 亦 然 。 华 沙 机 场 事故 是 这 种 情况 的 一 个 例子 ， 本 书 将 
在 12.2 市 中 更 详细 地 讨论 。 

可 靠 的 软件 系统 可 能 不 安全 ， 有 以 下 4 个 原因 。 

1. 我 们 不 能 百 分 百 地 确信 软件 系统 是 无 故障 的 和 能 容错 的 。 未 被 发 现 的 故障 可 能 潜伏 很 
长 一 段 时 间 ， 软 件 失效 也 许 会 发 生 在 多 年 的 可 靠 运行 之 后 。 

2. 需求 规格 说 明 可 能 是 不 完备 的 ， 因 为 它 可 能 没有 描述 在 一 些 关键 时 刻 的 必要 的 系统 
行为 。 很 大 一 部 分 系统 误 操 作 来 自 于 规格 说 明 错误 而 非 设 计 错 误 。 在 嵌入 式 系统 错误 的 研究 
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HP, Lutz ( Lutz 1993 ) 总 结 说 : 需求 中 的 困难 是 引起 安全 类 软件 错误 的 主要 原因 ， 它 会 一 直 
存在 直到 集成 和 系统 测试 2。Veras 等 人 ( Veras et al. 2010 ) 在 空间 系统 领域 最 近 的 工作 中 证 
实 “ 需 求 错 误 仍 然 是 舱 入 式 系 统 的 主要 问题 ”。 

3. 人 硬件 故障 可 能 会 导致 传 感 顺 和 执行 器 行为 发 生 异 常 。 当 构件 与 物理 失效 很 紧密 时 ， 它 
们 会 产生 不 规律 的 行为 ， 其 产生 的 信号 会 超出 软件 所 能 处 理 的 范围 。 之 后 ， 软 件 就 可 能 运行 
失败 或 错误 地 解释 这 些 信和 号 。 

4. 系统 的 操作 者 给 出 的 一 些 输入 单独 看 起 来 可 能 是 正确 的 ， 但 是 在 某 些 情形 下 它 可 能 导 
致 系统 发 生 故 障 。 一 个 有 趣 的 例子 是 ， 一 架 飞 机 在 停机 坪 上 起 落架 突然 塌 下 。 显 然 ， 技 术 员 
按 下 了 指示 设施 管理 软件 收 起 起 落架 的 按钮 。 软 件 完美 地 执行 了 技术 员 的 指令 。 然 而 ， 系 统 
应 该 不 允许 该 指令 的 执行 ， 除 非 飞 机 已 经 升 空 。 

因此 ， 在 开发 安全 关键 系统 时 ， 必 须 同 时 考虑 可 靠 性 和 安全 性 。 第 11 章 中 介绍 的 可 靠 
性 工程 技术 显然 适用 于 安全 关键 系统 工程 。 因 此 ， 这 里 不 讨论 系统 架构 和 可 依赖 的 编程 ， 而 
是 侧重 于 能 改进 和 确保 系统 安全 的 技术 。 


12.1 安全 关键 系统 


对 于 安全 关键 系统 而 言 ， 系 统 总 是 安全 运转 是 至 关 重 要 的 。 也 就 是 说 ， 系 统 永远 也 不 能 
伤害 人 或 者 损害 系统 环境 ， 而 无 论 系 统 是 否 符合 其 规格 说 明 。 安 全 关键 系统 的 例子 包括 飞机 
的 监控 系统 、 化 学 和 医学 工厂 中 的 过 程控 制 系统 ， 以 及 汽车 控制 系统 。 

安全 关键 软件 分 为 两 大 类 。 

1. 主要 的 安全 关键 软件 。 这 种 软件 是 做 人 在 系统 控制 希 中 的 软件 。 该 类 软件 的 错误 执行 
会 导致 硬件 的 误 操 作 ， 引 起 人 员 伤 害 或 环境 破坏 。 如 在 第 1 章 中 介绍 的 胰岛 素 泵 软件 ， 就 是 
主要 安全 关键 系统 。 系 统 失效 会 导致 用 户 受 到 伤害 。 

胰岛 素 条 系统 是 一 个 简单 的 软件 控制 系统 ， 但 是 其 他 非常 复杂 的 安全 关键 系统 也 依赖 软 
件 来 控制 。 软 件 控制 比 硬件 控制 更 重要 ， 因 为 大 量 的 传感器 和 执行 机 构 被 软件 管理 ， 这 些 单 
元 都 有 复杂 的 控制 准则 。 例 如 ， 先 进 的 空气 动力 军用 飞机 失去 平衡 的 时 候 ， 要 求 连续 对 飞行 
姿态 做 出 软件 控制 的 调整 A RAS Ze BCE BA 

2. 次 要 安全 关键 软件 。 此 类 软件 可 以 间接 引起 人 员 伤 害 。 此 类 软件 的 典型 例子 是 计算 机 
辅助 工程 设计 系统 ， 它 的 错误 执行 会 引起 所 设计 的 对 象 中 存在 设计 故障 。 如 果 所 设计 的 系统 
误 操 作 的 话 ， 这 样 的 故障 会 引起 对 人 的 伤害 。 男 外 一 个 例子 是 心理 治疗 管理 系统 。 由 于 该 系 
统 失效 ， 一 个 病情 不 稳定 的 病人 可 能 没有 得 到 正确 的 治疗 ， 使 得 该 病人 伤害 了 自己 或 他 人 。 

一 些 控 制 系统 ， 例 如 控制 关键 国家 基础 设施 (电力 供 应 、 电 信 、 污 水 处 理 等 ) 的 控制 系 
统 是 次 要 安全 关键 系统 。 这 些 系统 的 失效 一 般 不 会 立即 对 人 类 产生 严重 后 果 。 然 而 ， 受 控 系 
统 的 长 时 间 中 断 可 能 导致 受伤 和 和 死亡。 例如， 污水 处 理 系统 失效 可 能 导致 更 危险 的 传染 病 ， 
因为 未 处 理 的 污水 被 排放 到 环境 中 。 

第 11 章 中 解释 了 如 何 通过 故障 避免 、 故 障 检测 和 排除 、 容 错 来 实现 软件 和 系统 的 可 用 
性 和 可 靠 性 。 安 全 关键 系统 的 开发 在 使 用 这 些 方法 的 同时 ,通过 考虑 可 能 发 生 的 潜在 系统 事 
故 ， 利 用 危险 驱动 技术 来 增强 这 些 方 法 。 

1. 危险 避免 。 系 统 的 设计 要 能 避免 危险 的 发 生 。 例 如 ， 切 纸 系 统 要 求 操作 员 使 用 双手 同 


© Lutz, R R. 1993. “ Analysing Software Requirements Errors in Safety-Critical Embedded Systems. ”In 
RE’93, 126-133. San Diego CA: IEEE. doi:0.1109/ISRE.1993.324825. 
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时 分 别 按 住 一 个 按钮 ， 以 避免 操作 员 的 手 在 切 刀 的 路 径 上 。 

2. 危险 检测 和 排除 。 系 统 的 设计 要 能 检测 危险 ， 并 在 其 发 生 之 前 去 除 危 险 。 例如， 一 个 
化 学 工厂 系统 会 检测 过 大 的 压力 并 开启 减 压 阀 在 爆炸 发 生 之 前 降低 这 些 压力 。 

3. 限制 损失 。 系 统 中 可 能 会 包含 一 些 保 护 性 的 特征 ， 从 而 尽量 减少 事故 带 来 的 损失 。 例 
如 ， 正 常情 况 下 飞机 引擎 带 有 目 动 的 灭火 器 。 如 果 失 火 ， 通 常 可 以 在 其 对 飞机 造成 威胁 之 前 
得 到 控制 . 

危险 是 可 能 导致 事故 的 系统 状态 。 使 用 上 述 切 纸 系 统 的 示例 ， 当 操作 者 的 手 处 于 切割 刀 
片 能 够 伤害 到 的 位 置 时 ， 和 危险 出 现 。 和 危险 不 是 事故 ， 我 们 经 常 让 上 自己 陷入 危险 的 情况 ， 但 是 
总 能 毫发 无 损 地 脱离 危险 。 然 而 ， 发 生 事故 之 前 总 是 存在 危险 ， 因 此 减少 危险 可 减少 事故 。 

危险 是 安全 关键 系统 工程 中 使 用 的 专业 词汇 的 一 个 例子 。 图 12-1 中 解释 了 安全 关键 系 

































风险 






统 中 使 用 的 其 他 术语 。 
i @ |. ls BG -= mc- | 
患者 的 死亡 
潜在 能 引起 或 造成 事故 的 情况 。 测 量 血液 血糖 含量 的 传感器 失效 是 危险 的 一 个 例子 
险 程度 就 将 是 “非常 高 ” 
这 是 系统 会 发 生 事故 的 概率 的 度量 。 风 险 评 估 考 虑 了 危险 概率 、 和 危险 严重 性 ， 以 及 
来 越 复杂 ， 我 们 无 法 理解 系统 的 不 同 部 分 之 间 的 关系 。 因 此 ， 无 法 预测 许多 意外 的 系统 事件 
或 失效 组 合 所 导致 的 后 果 。 
事故 ”这 一 短语 ， 意 味 着 当 我 们 建立 复杂 的 安全 关键 系统 时 ， 事 故 必 须 被 认为 是 不 可 避免 的 。 
为 了 降低 复杂 性 ， 我 们 可 以 使 用 简单 的 硬件 控制 器 而 不 是 软件 控制 。 然 而 ， 相 对 于 机 电 


| 来 关 计 到 的 事件 和 事件 后 果 ， 它 导致 人 员 伤亡 ， 财 产 损 天 或 环境 破坏 。 过 量 注射 有 
事故 (意外) | 岛 素 是 事故 的 例子 
关于 意外 所 造成 结果 的 一 个 度量 。 损 失 可 以 是 很 多 人 在 事故 中 通 难 ， 也 可 能 是 很 小 
损失 的 身体 外 伤 或 很 小 的 财产 损失 。 胰 岛 素 过 量 可 能 导致 很 严重 的 损害 (损失) 甚至 引起 
| fie 
ERATE, BERL CETL. (ET DIF “TT” CF 1/100 的 危险 发 
、 | 危险 概率 ”| 生 概率 ) 到 “不 太 可 能 ” (没有 可 想到 的 发 生 危 险 的 情形 ) 等 来 衡量 危险 可 能 。 在 胰岛 
素 泵 中 传感器 失效 导致 过 量 注射 的 概率 就 是 “ 较 低 ” 
因 特 定 的 危险 所 导致 的 最 坏 可 能 损失 的 评估 -危险 严重 程度 可 以 是 灾难 性 的 ， 很 多 
危险 严重 性 | 人 遇难 ， 也 可 能 是 很 小 的 ， 如 只 有 微不足道 的 损失 。 只 要 有 可 能 造成 人 的 死亡 . 那 危 
危险 演化 为 事故 的 概率 。 胰 岛 素 过 量 的 风险 是 “中 度 ”到 “ 低 ” 
图 12-1 安全 性 术语 

事实 上 ， 我 们 现在 很 擅长 构建 能 够 应 对 单个 问题 的 系统 。 我 们 可 以 在 系统 中 设计 能 够 检 
测 和 恢复 单个 问题 的 机 制 。 然 而 ， 当 几 件 事 同时 出 错时 ， 事故 更 可 能 发 生 。 随 着 系统 变 得 越 

关于 严重 事故 的 分 析 ，Perrow ( Perrow 1984) 表明 ， 它 们 几乎 都 是 源 于 系统 不 同 部 分 
失效 的 组 合 情 形 。 子 系统 失效 的 未 预料 的 组 合 导 致 整个 系统 交互 的 失效 。 例 如 ， 空 调 系统 的 
失效 可 能 导致 过 热 ， 而 这 又 会 导致 系统 硬件 产生 不 正确 的 信和 号 。 

Perrow 指出 ， 在 复杂 的 系统 中 ， 不 可 能 预测 所 有 可 能 的 失效 组 合 。 因 此 ， 他 提出 了 “正常 
系统 ， 软 件 控制 系统 会 监视 更 大 范围 的 状态 。 它 们 也 更 容易 进行 修改 ， 使 用 的 计算 机 硬件 具 
有 非常 高 的 内 在 可 靠 性 ， 也 在 物理 上 减少 了 体积 和 重量 。 

软件 控制 系统 能 提供 复杂 的 安全 互 锁 机 制 ， 可 以 支持 相应 策略 以 减少 人 们 在 危险 环境 中 
停留 的 时 间 。 尽 管 软件 控制 会 导 人 更 多 的 错误 ， 但 它 也 人 允许 更 好 的 监控 和 保护 ， 因 而 对 改善 
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系统 安全 性 有 帮助 。 

很 重要 的 一 点 是 保持 对 于 安全 关键 系统 的 感知 。 关 键 软件 系统 大 多 数 时 候 运行 都 是 没 
有 问题 的 。 整 个 世界 上 只 有 很 少量 的 人 由 于 软件 故障 而 死亡 或 受伤 。 系 统 不 可 能 是 百 分 百 
安全 的 ， 我 们 必须 要 确定 是 否 值得 为 使 用 先进 技术 所 带 来 的 好 处 而 忍受 意外 事故 所 带 来 的 
风险 。 







© 基于 风险 的 需求 规格 说 有 


基于 风险 的 需求 规格 说 明 是 安全 性 和 信息 安全 性 要 求 极 高 的 系统 的 开发 者 广泛 使 用 
的 方法 。 它 注重 那些 可 能 造成 最 大 损失 或 可 能 经 常 发 生 的 事件 。 仅 造成 不 严重 的 后 果 或 者 
极 少 发 生 的 事件 可 能 被 忽略 。 基 于 风险 的 需求 规格 说 明 过 程 包括 : 理解 系统 所 面 对 的 风 
险 ， 发 现 它 们 的 根源 ， 生 成 需求 来 管理 这 些 风 险 。 


http://software-engineering-book.com/web/risk-based-specification/ 





12.2 安全 需求 

在 本 章 的 导言 中 描述 了 华沙 机 场 的 飞行 事故 ,事故 里 空 客 的 制 动 系统 发 生 故 障 。 对 于 事 
故 的 调查 显示 制 动 系统 软件 按 其 规格 说 明正 常 工作 了 。 程 序 中 是 没有 错误 的 。 然 而 ， 软 件 的 
规格 说 明 是 不 完备 的 ， 它 没有 考虑 到 极 特 殊 的 情况 ,恰巧 这 种 极 特殊 情况 发 生 了 。 软 件 正光 
工作 但 是 系统 失败 了 。 

这 个 事件 说 明了 系统 的 安全 性 不 仅 依赖 于 好 的 工程 过 程 ， 还 需要 在 制定 系统 需求 时 
关注 一 些 细节 ， 以 及 用 来 保证 系统 安全 性 的 特殊 的 软件 需求 。 安 全 需求 是 功能 性 需求 ， 功 
能 性 需求 定义 了 系统 应 该 包含 的 检查 和 修复 措施 ， 以 及 防止 系统 失效 和 外 部 攻击 的 保护 性 
特征 。 

产生 功能 性 安全 需求 的 起 始点 通常 是 领域 知识 、 安 全 标准 或 法 规 。 它 们 是 高 级 别 的 需 
求 ， 最 好 用 “不 应 该 ”需求 来 描述 。 与 定义 系统 应 该 做 什么 的 功能 性 需求 相 比 ，“ 不 应 该 ” 
需求 定义 系统 不 能 被 接受 的 行为 。“ 不 应 该 ”需求 的 例子 是 : 

“ 当 飞 机 在 飞行 时 ， 系 统 不 应 该 允许 选择 反问 推力 模式 。” 

“系统 不 应 该 允许 3 个 以 上 报警 信号 同时 被 激活 。” 

“导航 系统 不 应 该 允许 用 户 在 汽车 移动 时 设置 所 需 的 目的 地 。" 

这 些 “ 不 应 该 ”需求 不 能 直接 实现 ， 而 是 必须 分 解 成 更 多 的 比较 专门 的 软件 功能 性 需 
求 。 它 们 可 能 通过 系统 设计 决策 来 实现 ， 这 样 的 设计 决策 的 例子 是 ， 决 定 在 一 个 系统 中 使 用 
某 种 装置 。 

安全 需求 首要 的 是 保护 性 需求 ， 与 普通 的 系统 操作 没有 关系 。 它 们 可 能 明确 说 明 系 统 应 
该 被 关闭 ， 这 样 安全 性 才能 得 以 保证 。 在 所 得 到 的 安全 需求 中 ， 需 要 在 安全 性 和 功能 性 之 间 
找到 一 个 可 接受 的 平衡 来 避免 过 度 保护 。 在 花费 合理 的 前 提 下 研究 构建 非常 安全 的 系统 才 是 
有 意义 的 。 

基于 风险 的 需求 规格 说 明 是 在 关键 系统 工程 中 使 用 的 一 种 通用 方法 ,该 方法 识别 系统 面 
临 的 风险 ， 并 避免 或 减轻 这 些 已 识别 的 风险 。 它 适用 于 所 有 类 型 的 可 依赖 性 需求 。 对 于 安全 
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关键 系统 ， 它 转换 为 由 识别 的 危险 驱动 的 过 程 。 正 如 上 一 节 中 讨论 的 ， 危险 是 指 可 能 (但 不 
是 必需 ) 造成 人 员 伤 亡 的 情形 。 

在 危险 驱动 的 安全 规格 说 明 过 程 中 有 4 个 活动 。 

1. 危险 识别 。 危 险 识 别 过 程 识别 可 能 威胁 系统 的 危险 。 这 些 危 险 可 以 记录 在 危险 日 
志 中 。 这 是 一 份 记 录 安 全 分 析 和 评估 的 正式 文件 ， 可 作为 安全 案例 的 一 部 分 提交 给 监管 
机 构 。 

2. 危险 评估 。 人 危险 评估 过 程 决 定 哪些 危险 是 最 严重 的 或 最 可 能 发 生 的 。 在 确定 安全 需求 
时 应 优先 考虑 这 些 因 素 。 

3. 危险 分 析 。 这 是 一 个 根本 原因 分 析 的 过 程 ， 用 于 识别 可 能 导致 危险 发 生 的 事件 。 

4. 风险 降低 。 这 个 过 程 基 于 危险 分 析 的 结果 并 识别 安全 需求 。 这 些 需 求 可 能 是 关于 确保 
一 个 危险 不 会 引起 或 导致 事故 ， 或 如 采 一 
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图 12-2 说 明了 这 种 危险 驱动 的 安全 需 
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12.2.1 危险 识别 
图 12-2 和 危险 驱动 的 需求 规格 说 明 
在 安全 关键 系统 中 ， 和 危险 识别 始 于 确 


定 不 同 的 危险 类 别 ， 如 物理 危险 、 电 子 危 险 、 生 物 危 险 、 辐 射 危险 、 服 务 失效 危险 等 。 接 下 
,来 分 析 每 一 类 危险 以 发 现 可 能 发 生 的 特定 的 危险 。 ew rit ee ea 
而 产生 的 潜在 危险 。 

有 经 验 的 工程 师 、 领 域 专家 以 及 专业 的 安全 顾问 一 起 工作 ， 从 先前 的 经 验 和 应 用 领域 中 
识别 出 系统 危险 。 集 体 工 作 方 式 比如 头脑 风暴 ， 对 识别 危险 有 很 好 的 作用 。 对 先前 事故 有 下 
接 经 验 的 专门 分 析 人 员 也 能 够 识别 特定 的 危险 。 

第 1 章 中 介绍 的 胰岛 素 泵 系统 的 例子 就 是 安全 关键 系统 ， 因 为 失效 可 能 导致 患者 受伤 其 
至 死亡 。 当 使 用 机 器 时 可 能 发 生 的 事故 包括 : 用 户 承受 长 时 间 的 低 血糖 的 后 有 果 (〈 了 眼睛、 心脏 
和 肾脏 问题 ); 由 低 血糖 引起 的 感知 功能 障碍 ; 一 些 其 他 医疗 情况 ， 比 如 过 敏 反 应 

胰岛 素 泵 系统 引起 的 一 些 危险 包括 : 

e 胰岛 素 药 量 过 大 (服务 失效 危险 ); 

e 胰岛 素 药 量 不 人 够 (服务 失效 危险 ); 

o 硬件 监控 系统 失效 (服务 失效 危险 ); 

e 电池 用 尽 造 成 停电 【〈 电 需 人 危险 ); 

。 机 器 与 其 他 医疗 设备 发 生 电 子 干扰 ， 如 与 心脏 起 搏 器 相互 影响 (电器 危险 ); 

e 由 于 不 正确 的 安装 造成 传 感 带 和 执行 机 构 接 触 不 良 (物理 危险 ); 

e 机 器 的 某 个 部 分 在 病人 喘 体 内 脱离 〈 物 理 人 危险 ); 

e 由 于 引入 机 融 造 成 感染 (生物 危险 ); 

e 患者 对 机 器 材料 或 胰岛 素 的 过 敏 反 应 (生物 危险 )。 

软件 相关 的 危险 一 般 涉及 系统 服务 失效 ， 或 者 是 监控 系统 或 保护 系统 失效 。 监 控 系 统 和 
保护 系统 会 检测 出 潜在 的 危险 状态 ， 比 如 断 电 。 

可 以 使 用 危险 日 志 ( hazard register) 记录 所 识别 的 危险 ， 并 解释 为 何 该 危险 会 被 吉 括 其 
中 。 和 危险 日 志 是 一 个 重要 的 法 律 文件 ， 它 记录 与 每 个 危险 相关 的 所 有 安全 决策 。 它 可 以 用 
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来 证 明 需 求 工程 师 在 考虑 所 有 可 预见 的 危险 时 已 经 十 分 注意 和 小 心 ， 并 且 已 经 分 析 了 这 些 危 
险 。 在 发 生 事故 时 ， 危险 日 志 可 用 于 随后 的 查询 或 法 律 诉 讼 中 ， 以 表明 系统 开发 人 员 在 系统 
ZED PRA BZ o 


12.2.2 危险 评估 


危险 评估 过 程 注重 理解 危险 发 生 的 频率 和 人 危险 发 生 所 造成 的 后 果 。 你 需要 进行 分 析 来 理 
解 一 个 危险 对 系统 或 环境 而 言 是 不 是 严重 威胁 。 分 析 同 样 还 要 提供 基本 信息 以 决定 如 何 管理 
与 危险 相关 的 风险 。 . 

对 于 危险 ， 分 析 和 分 类 过 程 的 结果 是 可 接受 性 报告 。 报 告 是 用 风险 术语 表述 的 。 风 险 包 
含意 外 发 生 的 可 能 性 和 它 的 后 果 。 在 危险 评估 中 可 以 使 用 3 种 风险 类 型 。 

1. 不 可 容忍 的 风险 。 在 安全 关键 系统 中 是 指 那 些 能 威胁 到 人 的 生命 的 危险 。 系 统 设计 要 
求 不 能 让 这 类 危险 发 生 , 或 者 一 旦 发 生 ， 系 统 特征 将 保证 在 引起 事故 之 前 就 已 探知 到 它们 。 
在 胰岛 素 录 的 例子 中 ， 一 个 不 可 容忍 的 风险 是 胰岛 素 过 量 注射 。 

2. 低 于 合理 的 实际 水 平 (As Low As Reasonably Practical, ALARP) 的 风险 。 此 类 风险 
是 那些 没有 太 严 重 后 果 或 后 果 严 重 但 发 生 的 可 能 性 非常 低 的 危险 。 系 统 设计 应 该 让 危险 引起 
的 事故 尽量 少 ， 并 满足 成 本 或 交付 等 因素 的 约束 。 胰 岛 素 泵 的 一 个 低 于 合理 的 实际 水 平 的 风 
险 可 能 是 硬件 监控 系统 的 失效 。 其 后 果 是 ， 在 最 坏 的 情况 下 ， 短 期 的 胰岛 素 量 过 低 。 这 是 一 
个 不 会 引起 严重 后 果 的 情况 。 

3. 可 接受 的 风险 。 此 类 风险 是 指 那些 相关 联 的 事故 通常 引起 很 小 的 损失 。 系 统 设计 者 应 
该 采取 所 有 可 能 的 步 又 来 尽量 降低 可 接受 的 风险 ， 只 要 不 会 提高 成 本 、 延 长 交付 时 间或 影响 \ 
其 他 非 功能 性 的 系统 属性 。 在 胰岛 素 泵 的 例子 中 ， 一 个 可 接受 风险 可 能 是 引起 用 户 一 次 过 敏 
有 反应。 这 通常 仅仅 引起 很 小 的 皮肤 发 炎 。 它 不 值得 为 了 降低 这 个 风险 使 用 特别 的 、 更 昂贵 的 
材料 与 设备 。 

图 12-3 显示 了 这 3 个 区 域 。 三 角形 的 宽度 
反映 了 确保 风险 不 会 导致 事故 的 成 本 。 最 高 的 
成 本 对 应 图 顶部 的 危险 ， 最 低 的 成 本 对 应 三 角 
形 项 点 处 的 危险 。 

图 12-3 中 区 域 之 间 的 边界 不 是 固定 的 ， 而 ALARP 区 域 
是 取决 于 将 部 署 系统 的 国家 中 风险 的 可 接受 程 
度 。 不 同 国家 会 有 所 不 同 一 些 国家 比 其 他 
国家 更 厌恶 风险 或 更 易 引 发 诉讼 。 然 而 ， 随 着 
时 间 的 推移 ， 所 有 国家 都 变 得 越 来 越 厌 恶 风险 ， 
所 以 边界 向 下 移动 。 对 于 罕见 事件 ， 接 受 风险 
的 成 本 和 为 任何 由 此 产生 的 事故 文 付 的 财务 成 










不 可 接受 区 域 
风险 不 可 容忍 


只 有 当 降 低 风险 是 不 
切实 际 的 或 者 十 分 昂贵 
时 ， 才 能 容忍 风险 





本 可 能 低 于 事故 预防 的 成 本 。 然 而 ， 公 众 与 论 bt ey ae 
可 能 要 求 用 钱 来 减少 系统 事故 的 可 能 性 ， 而 不 B23 ARSE 


考虑 成 本 。 

举例 来 说 ， 对 于 一 个 公司 ， 对 偶然 发 生 的 污染 事故 的 处 理 成 本 要 比 安装 防止 污染 的 波 置 
的 成 本 小 。 然 而 ， 公 众 和 媒体 不 会 容忍 这 样 的 事故 ， 不 预防 而 选择 清理 污染 就 变 得 不 再 能 够 
接受 。 这 样 的 事件 可 能 还 会 导致 风险 的 重新 分 类 。 比 如 ， 认 为 不 太 可 能 发 生 的 风险 〈 因 此 在 
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ALARP 区 域 中 ) AERAR AAEM A A, kinik, BLA APLAR, 
如 海啸 。 

图 12-4 给 出 一 个 风险 分 类 ， 对 应 前 面 章节 中 讨论 的 胰岛 素 注 射 系 统 中 识别 出 的 危险 。 
把 由 于 计算 错误 导致 的 胰岛 素 过 量 与 胰岛 素 量 过 低 的 危险 区 分 开 来 。 一 次 胰岛 素 过 量 在 短期 
内 浴 在 地 存在 比 胰 马 素 量 过 低 更 高 的 危险 。 胰 品 素 过 量 可 以 导致 感知 功能 障碍 、 昏 迷 甚 至 死 
亡 。 胰 岛 素 量 过 低 引 起 血糖 过 高 ， 在 短期 内 会 导致 疲劳 但 是 不 会 非常 严重 ; 然而 长 期 来 看 ， 
可 能 导致 严重 的 心脏 、 肾 脏 以 及 眼睛 问题 。 


| ie | 高 | dC 
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图 12-4 胰岛素 硝 系 统 中 的 风险 分 类 


图 12-4 中 的 危险 4 一 9 与 软件 无 关 ， 但 是 软件 仍然 要 承担 危险 探测 的 和 角色。 监控 硬件 
的 软件 应 该 监控 系统 状态 并 警告 潜在 的 问题 。 通 常 ， 警 告 在 危险 导致 事故 之 前 被 检测 出 来 。 
可 以 被 检测 出 来 的 危险 的 例子 有 : 通过 监控 设备 电池 检测 到 的 电池 失效 ， 通 过 监控 来 自 血糖 
传感器 的 信号 检测 到 的 血糖 传感器 放置 不 正确 。 

当然 ， 这 个 监控 软件 是 与 安全 相关 的 ， 因 为 危险 检测 失效 会 导致 事故 发 生 。 如 果 监 控 系 
统 失效 但 是 硬件 正常 工作 ， 那 么 这 就 不 是 一 个 严重 失效 。 然 而 如 果 监 控 系 统 失效 以 至 于 硬件 
失效 没有 被 检测 到 ， 那 么 就 会 导致 更 加 严重 的 后 果 。 

危险 评估 过 程 包 括 估计 危险 概率 和 风险 的 严重 性 。 由 于 危险 和 事故 不 和 常见， 所 以 危险 评 
佑 过 程 通常 是 困难 的 ， 很 多 工程 师 没 有 危险 事件 或 事故 的 直接 经 验 。 概 率 和 严重 性 使 用 一 些 
相对 性 的 用 词 ， 例 如 “很 可 能 ”不 太 可 能 “罕见 的 ”和 “高 "'“ 中 ”“ 低 ”等 。 因 为 没有 足够 
的 危险 事件 和 事故 作为 统计 分 析 数 据 ， 所 以 不 可 能 量化 这 些 术 语 。 


12.2.3 危险 分 析 


危险 分 析 是 指 发 现 安全 关键 系统 中 危险 根源 的 过 程 ， 目 标 是 找 出 什么 事件 或 事件 的 组 合 
可 能 会 导致 引发 危险 的 系统 失效 。 为 做 到 这 一 点 ， 可 以 使 用 自 项 向 下 或 者 自 底 向 上 的 研究 方 
法 。 演 绎 性 的 自 顶 向 下 的 技术 可 能 会 更 容易 使 用 一 些 ， 这 种 技术 从 危险 开始 分 析 到 可 能 的 系 
统 失效 。 归 纳 性 的 自 底 向 上 的 技术 从 一 个 所 提出 的 系统 失效 出 发 ， 识 别 该 失效 可 能 会 导致 什 
么 样 的 危险 。 

人 们 提出 了 各 种 各 样 的 危险 分 解 与 分 析 技术 (Storey 1996 )。 最 常用 的 技术 之 一 是 
故障 树 分 析 ， 这 是 一 种 自 项 向 下 的 技术 ， 用 于 分 析 硬 件 和 软件 危险 (Leveson，Cha，and 
Shimeall 1991 )。 这 种 技术 很 易于 理解 ， 并 不 需要 专业 领域 知识 。 
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发 现 可 能 引起 该 危险 的 原因 。 将 危险 置 于 树 的 根 节点 ， 并 识别 出 所 有 能 导致 此 危险 的 系统 状 
态 。 接 下 来 对 每 一 个 这 样 的 状态 ， 找 出 更 多 能 导致 该 状态 的 系统 状态 。 继 续 分 解 直 到 达到 风 
险 的 所 有 根本 原因 。 较 之 那些 只 有 一 个 根本 原因 的 危险 ， 由 一 组 根本 原因 的 组 合 引 起 的 危险 
导致 事故 发 生 的 可 能 性 要 小 得 多 。 

图 12-5 是 关于 胰岛 素 泵 系统 中 的 软件 相关 人 危险 的 一 棵 故障 树 。 这 些 危 险 能 导致 不 正确 
的 胰岛 素 传 输 剂量 。 在 这 种 情况 下 ， 把 胰岛 素 不 足 与 胰岛 素 过 量 合并 为 一 种 危险 ， 即 “不 正 
确 的 胰岛 素 剂 量 ”。 这 减少 了 所 需要 的 故障 树 的 数量 。 当 然 ， 在 指定 软件 应 该 如 何 对 这 些 危 
险 做 出 反应 的 时 候 ， 必 须 区 分 胰岛 素 低 剂量 与 胰岛 素 过 量 的 区 别 。 如 前 面 所 讲 ， 它 们 不 是 同 
等 重要 一 一 短期 来 看 ， 过 量 有 更 大 的 危险 。 


不 正确 的 
胰岛 素 剂 量 


[或 \ 


血糖 水 平 在 错误 的 时 间 传送 
测量 不 正确 传送 正确 的 剂量 系统 失效 | 
失效 计算 错误 失效 计算 不 正确 I| 不 正确 
(或 [或 \ 


图 12-5 故障 树 的 例子 


从 图 12-5 可 以 看 到 : 

1. 有 3 种 情况 可 以 导致 不 正确 的 胰岛 素 剂 量 使 用 。 血 糖 浓 度 可 能 被 错误 测量 ， 所 以 胰岛 
素 需 求 量 也 因 错 误 的 输入 而 被 错误 计算 ,传送 系统 可 能 对 指定 胰岛 素 注射 量 的 指令 没有 正确 
反应 。 男 外 ,剂量 可 能 计算 正确 但 是 被 过 早 或 过 述 传 送 。 

2. 故障 树 的 左 枝 是 血糖 值 水 平 的 错误 测量 。 这 可 能 是 因为 提供 一 个 输入 以 计算 血糖 水 平 
的 传感器 失效 了 ， 也 可 能 是 因为 对 血糖 水 平 的 计算 错误 。 血 糖 值 的 计算 是 根据 多 个 测量 得 到 
的 参数 ， 比 如 皮肤 的 传导 性 。 不 正确 的 计算 可 能 是 由 错误 的 算法 或 者 一 个 算术 错误 引起 的 ， 
此 错误 可 能 是 浮 点 数 引 起 的 。 

3. 该 树 的 中 间 分 校 是 关于 时 间 性 问题 的 ， 这 些 问 题 只 能 由 系统 定时 需 失 效 引 起 。 

4. 故障 树 的 右 校 是 关于 传送 系统 失效 的 ,检查 这 个 失效 的 可 能 原因 。 这 些 原因 可 能 来 自 
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不 正确 的 计算 可 能 源 于 算法 错误 或 算术 错误 。 

故障 树 也 用 在 对 潜在 硬件 问题 的 识别 上 。 硬 件 故 障 树 还 可 帮助 理解 软件 需求 ， 以 检测 和 
修正 问题 。 例 如 ， 胰 岛 素 的 提供 频率 不 会 是 很 高 的 ， 一 般 不 超过 每 小 时 3 次 ， 有 时 会 更 少 。 
因此 处 理 关 有 能 力 运行 诊断 和 有 目 检 程序 。 在 对 患者 产生 严重 后 果 之 前 ， 硬 件 错误 如 传 感 硕 、 
条 或 者 定时 天 错误 就 可 以 被 发 现 并 报警 。 


12.2.4 风险 降低 


一 旦 识别 出 潜在 的 风险 及 其 根源 ， 我 们 就 能 够 得 出 安全 需求 以 管理 风险 ， 并 确保 不 会 发 
生 各 种 事故 。 可 以 使 用 3 个 可 行 的 策略 : 

1. 危险 避免 。 设 计 系 统 使 得 危险 不 能 发 生 。 

2. 危险 检测 和 排除 。 设 计 系统 使 得 可 以 在 危险 导致 事故 之 前 检测 出 危险 并 排除 它 。 

3. 灾害 限制 。 设 计 系统 使 得 事故 后 果 影 响 达 到 最 小 。 

通常 ， 安 全 关键 系统 的 设计 者 会 综合 使 用 这 些 方法 。 一 般 来 说 ， 对 于 不 可 容忍 的 危险 ， 
要 最 大 可 能 减少 其 发 生 的 可 能 性 ， 并 增加 一 个 保护 系统 以 防 这 个 危险 发 生 ( 见 第 11 章 )。 例 
如 ， 在 医药 工厂 控制 系统 中 ， 系 统 将 努力 检测 和 避免 反应 器 压力 过 高 。 不 仅 如 此 ， 还 会 提供 
一 个 独立 的 保护 系统 来 监视 压力 ， 并 当 检 测 到 压力 过 高 的 时 候 自 动 开启 减 压 阀 。 

在 胰岛 素 注射 系统 中 ,“ 安 全 状态 ”是 没有 胰岛 素 注 射 的 关闭 状态 。 在 短 时 间 内 这 不 会 对 
病人 健康 带 来 威胁 。 对 于 可 能 导致 胰岛 素 泵 系统 运行 错误 的 软件 失效 ， 需 要 下 面 这 些 “ 方 案 ” 。 
“ 1. 算术 错误 。 该 错误 发 生 在 一 次 算术 计算 引起 一 个 表示 失效 ， 在 系统 规格 说 明 中 一 定 要 识 
别 出 所 有 可 能 的 算术 错误 ， 并 为 每 个 可 能 发 生 的 错误 设置 异常 处 理 程序 。 系 统 规格 说 明 还 要 给 
出 每 当 这 种 错误 发 生 时 所 应 该 采取 的 行动 。 默 认 的 安全 行动 会 停止 传送 系统 并 启动 一 个 警告 。 

2. 算法 错误 。 这 是 一 种 更 困难 的 情形 ， 因 为 没有 明显 的 必须 处 理 的 程序 异常 。 通 过 比较 
要 求 的 胰岛 素 剂 量 和 之 前 传输 的 剂量 ， 能 检测 到 这 类 错误 。 如 果 高 出 很 多 ， 可 能 表明 计算 出 
的 剂量 是 错误 的 。 系 统 也 可 以 继续 跟踪 剂量 序列 ， 在 有 多 个 高 于 平均 值 的 剂量 被 传送 时 ， 就 
发 一 个 警告 并 限制 进一步 的 传送 。 

针对 胰岛 素 泵 系统 ， 我 们 所 得 到 的 部 分 安全 需求 列 于 图 12-6 中 。 它 们 是 用 户 需求 ， 因 
此 ， 应 该 更 详细 地 表述 在 最 后 的 系统 规格 说 明 中 。 


: 系统 所 传送 的 胰 怠 素 单 个 剂量 不 应 该 大 于 一 个 指定 的 最 大 值 。 
: 系统 所 传送 的 胰岛 素 每 日 总 剂量 不 应 该 大 于 一 个 指定 的 最 大 值 。 
: 系统 应 该 包括 一 个 硬件 诊断 工具 ， 该 工具 在 每 小 时 内 应 执行 不 少 于 4 次 。. 


: 系统 应 该 包含 异常 处 理 程序 ， 异常 处 理 程序 处 理 系 统 中 所 有 识别 出 的 异常 ， 参 见 表 3。 

: 当 任何 硬 件 或 软件 异常 发 生 时 ， 报 警 器 就 会 发 出 响声 ， 同 时 诊断 消息 (如 表 4 中 所 列 ) 也 会 
显示 出 来 。 

: 在 报警 事件 中 ， 胰 岛 素 传送 应 暂停 ， 直 到 用 户 重 新 设 定 系 统 并 清除 报警 。 


注 : 表 3 和 表 4 相关 的 表格 都 在 需求 文档 中 ， 此 处 并 不 列 出 ， 
图 12-6 安全 需求 的 例子 





12.3 ”安全 工程 过 程 
开发 安全 关键 软件 的 流程 基于 软件 可 靠 性 工程 。 总 的 来 说 ， 要 把 中 心 放 在 开发 一 个 完整 


230 P -EAT FATRMEP TS EEE 


而 且 非 常 详 细 的 系统 规格 说 明 上 。 系 统 的 设计 和 实现 常常 遵守 基于 计划 的 瀑布 模型 ， 并 且 在 
每 一 个 阶段 都 进行 评审 与 检查 。 故 障 避 免 与 故障 检测 是 每 个 阶段 的 驱动 。 对 于 一 些 典型 的 系 
统 ， 例 如 在 第 11 章 所 讨论 的 航空 系统 ， 需 使 用 容错 体系 结构 。 

可 靠 性 是 安全 关键 系统 的 先决 条 件 。 由 于 系统 失效 将 会 带 来 高 成 本 与 潜在 危害 ， 因 此 安 
全 关键 系统 开发 工作 常常 增加 额外 的 验证 活动 。 这 些 活动 包括 开发 正式 软件 模型 ， 分 析 并 找 
到 错误 和 不 一 致 ， 以 及 使 用 静态 分 析 软 件 工 具 解 析 软 件 源码 以 发 现 潜在 错误 。 

安全 系统 必须 可 靠 , 但是， 仅仅 具有 可 靠 性 还 不 够 。 需 求 和 验证 如 果 有 错误 或 者 有 遗 
漏 ， 则 可 能 意味 着 可 靠 系统 是 不 安全 的 ， 因 此 ， 安 全 关键 系统 开发 流程 应 包括 安全 评审 ， 即 
由 工程 师 和 系统 利益 相关 者 检查 已 经 完成 的 工作 ， 尤 其 注意 可 能 会 影响 系统 安全 的 潜在 问题 。 

正如 在 第 10 章 中 所 讨论 的 ， 一些 类 型 的 安全 关键 系统 是 要 遵守 某 些 规定 的 。 国 家 和 国 
际 监管 机 构 需 要 详细 的 证 据 表 明 该 系统 是 安全 的 。 这 些 证 据 可 能 包括 : 

1. 已 开发 的 系统 规格 说 明和 针对 该 规格 说 明 所 做 的 检查 记录 。 

2. 已 实施 的 验证 和 确认 过 程 的 证 据 ， 以 及 系统 验证 和 确认 的 结果 。 

3. 那些 表明 开发 该 系统 的 组 织 有 已 定义 和 可 依赖 的 软件 过 程 的 证 据 ， 还 包括 安全 保证 评 
审 。 也 必须 有 记录 显示 这 些 过 程 已 被 适当 地 制定 。 

不 是 所 有 安全 关键 系统 都 是 被 监管 的 。 例 如 ， 尽 管 现在 汽车 有 很 多 由 入 式 计算 机 系统 ， 
但 汽车 并 没有 监管 机 构 。 汽 车 系统 的 安全 是 汽车 制造 商 的 责任 。 然 而 ， 因 为 在 发 生 事故 时 很 
可 能 会 采取 法 律 行动 ， 非 监管 系统 的 开发 人 员 必 须 保 持 相同 的 详细 安全 信息 。 如 果 对 他 们 提 
起 诉讼 ， 他 们 必须 证 明 在 开发 汽车 软件 时 没有 朴 忽 大 意 ， 

以 上 这 些 都 要 求 大 量 的 过 程 和 产品 文档 ， 这 也 是 敏捷 过 程 如 果 不 针对 安全 关键 系统 开 . 
发 进行 大 幅 的 改动 就 无 法 在 这 种 系统 开发 中 使 用 的 另 一 个 原因 。 敏 捷 过 程 关注 软 件 自身 并 且 
(合理 地 ) 认为 大 量 的 过 程 文档 在 产生 之 后 并 未 实际 使 用 过 。 然 而 ， 当 不 得 不 出 于 法 律 和 监 
管 的 原因 保留 相关 记录 时 ， 你 就 必须 保持 对 于 所 使 用 的 过 程 以 及 系统 自身 的 文档 记录 。 

安全 关键 系统 ， 像 其 他 具有 高 可 依赖 性 需求 的 系统 一 样 ， 需 要 基于 可 靠 的 过 程 ( 见 第 
10 音 )。 一 个 可 依赖 的 过 程 通常 都 会 包含 以 下 活动 : 需求 管理 、 变 更 管理 和 配置 控制 、 系 统 
建 模 、 评 审 以 及 审查 、 测 试 计划 、 测 试 覆盖 分 析 。 对 于 一 个 安全 关键 的 系统 ， 还 需要 额外 的 
安全 保证 、 软 件 验 证 以 及 系统 分 析 过 程 。 


12.3.1 安全 保证 过 程 


安全 保证 是 检查 系统 是 否 安全 运行 的 一 组 活动 。 专 门 的 安全 保证 活动 一 定 要 包含 在 软件 
开发 过 程 的 所 有 阶段 当中 。 这 些 安全 保证 活动 记录 所 进行 的 分 析 以 及 负责 分 析 的 人 员 。 安 全 
保证 活动 一 定 要 全 程 用 文档 记录 。 这 些 文档 用 来 向 监管 人 员 和 系统 所 有 者 证 明 该 系统 能 安全 
运行 。 

下 面 是 一 些 安全 保证 活动 的 实例 。 

1. 危险 日 志和 监控 ， 从 初步 危险 分 析 到 测试 再 到 系统 确认 ， 全 过 程 跟踪 危险 。 

2. 安全 评审 ,贯穿 于 整个 开发 过 程 中 。 

3. 安全 认证 ， 对 安全 关键 构件 进行 正式 的 安全 认证 。 由 独立 于 系统 开发 团队 的 外 部 人 员 
组 成 小 组 ， 检 查 相关 的 证 据 ， 并 且 在 投入 使 用 前 决定 一 个 系统 或 构件 是 否 是 安全 的 。 

为 了 支持 这 些 安全 保证 过 程 ， 应 该 指定 项 目 安全 工程 是， 他们 应 当 对 系统 的 安全 性 负 有 
明确 的 责任 。 这 就 意味 着 这 些 人 在 系统 安全 相关 失效 出 现时 应 该 承担 责任 。 他 们 必须 能 够 证 


明 安 全 保证 相关 步骤 已 经 得 到 了 正确 的 执行 。 

安全 工程 师 和 质量 经 理 一 起 工作 ， 确 保 使 用 一 个 详细 的 配置 管理 系统 追踪 所 有 安全 相关 文 
档 ， 并 且 使 之 与 相关 的 技术 文档 同步 。 如 果 配 置 管理 失效 意味 着 将 错误 的 系统 交付 给 了 客户 ， 
那么 严格 的 确认 过 程 也 就 没什么 意义 了 。 质 量 和 配置 管理 将 分 别 在 第 24 章 和 第 25 章 中 讲述 。 

危险 分 析 是 安全 关键 系统 开发 过 程 中 的 一 个 重要 部 分 。 人 危险 分 析 的 重点 是 识别 危险 、 危 
险 发 生 概率 以 及 一 个 危险 导致 发 生 事故 的 概率 。 如 果 有 程序 代码 检查 并 处 理 每 个 危险 ， 就 可 
以 证 明 这 些 危险 不 会 造成 事故 。 在 一 个 系统 使 用 前 需要 得 到 外 部 认证 的 时 候 (例如 ， 飞 机 中 
的 软件 系统 )， 能 证 明 软 件 具 有 可 跟 踊 能 力 通常 是 认证 的 前 提 条 件 。 

应 该 生成 的 核心 安全 文档 是 危险 日 志 。 这 个 文档 提供 了 有 关 如 何 识别 在 软件 开发 过 程 中 
所 考虑 的 危险 的 证 据 。 这 个 危险 日 志 要 用 于 软件 开发 过 程 的 每 个 阶段 ， 记 录 在 各 个 开发 阶段 
是 如 何 考虑 这 些 危 险 的 。 

胰岛 素 传送 系统 的 一 个 简化 的 危险 日 志 条 目 如 图 12-7 所 示 。 它 记录 了 危险 分 析 的 过 程 ， 
并 显示 了 在 这 个 过 程 中 生成 的 设计 需求 。 该 设计 需求 的 目的 是 确保 控制 系统 不 会 回 患 者 传送 
过 量 的 胰岛 素 。 l 

每 个 安全 负责 人 都 要 在 条 目 中 明确 地 标明 ， 这 是 很 重要 的 ， 因 为 有 以 下 两 方面 的 原因 。 

1. 当 人 员 被 确定 时 ， 他 们 可 以 对 自己 的 行动 负责 。 这 就 意味 着 他 们 很 可 能 更 关心 目 己 的 
工作 ， 因 为 任何 问题 都 可 以 追踪 到 他 们 的 工作 上 。 

2. 在 发 生 事故 时 ， 很 可 能 产生 法 律 诉 讼 或 调查 。 能 够 确认 对 安全 保证 负责 的 人 很 重要 , 
这 样 他 们 就 能 够 说 明 他 们 的 行为 。 
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系统 : 胰岛 素 杂 系统 文件 : 


安全 工程 师 : James Brown 日 志 版 本 : 1/3 

识别 出 的 危险 向 患者 传送 了 过 量 的 胰岛 素 

识别 人 Jane Williams 

危险 类 型 l 

识别 出 的 风险 高 

故障 树 识别 是 日 期 =. 2011-01-24 位 置 ” 危险 日 志 第 5 页 
故障 树 创 建 人 Jane Williams 和 BillSmith 


故障 树 检 查 
系统 安全 设计 需求 

1. 系统 必须 包含 自 检 测 软 件 ， 能 够 测试 传感器 系统 、 时 钟 以 及 胰岛 素 传送 系统 ，。 
2. 自 检 测 软件 必 须 每 分 钟 执 行 一 次 。 

3. 自 检测 软件 无 论 在 哪个 系统 构件 中 发 现 了 故障 ， 必 须 能 发 出 声音 报警 ， 硝 显示 器 应 当 指 示 故 障 所 
在 的 构件 的 名 字 ， 胰 岛 素 传送 因而 要 暂停 

4. 系统 需要 插入 一 个 干预 系统 ， 人 允许 系统 用 户 修改 通过 计算 得 到 、 将 由 系统 传送 的 胰岛 素 剂量 。 

5. 干预 的 量 一 定 不 能 大 于 预 设 值 (最 大 干预 量 )， 这 是 医务 人 员 对 系统 事先 设置 好 的 。 


日 期 检查 人 James Brown 





2011-01-28 














图 12-7 简化 的 危险 日 志 条 目 


安全 评审 包括 评审 软件 规格 说 明 、 软 件 设计 以 及 源 代码 ， 其 目的 是 发 现 软 件 潜在 的 危险 
状态 ， 这 些 不 是 全 自动 化 的 过 程 ， 它 需要 人 细心 检查 可 能 影响 系统 安全 的 错误 : 已 经 造成 的 
错误 ,假想 的 错误 ， 忽视 的 错误 。 例如， 在 前 面 介绍 的 飞机 事故 中 ， 一 项 安全 评审 可 能 会 质 
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疑 这 一 假设 : 飞机 在 地 面 上 且 两 轮 负 重 时 ， 两 轮 在 旋转 。 

安全 评审 应 该 由 危险 日 志 驱 动 。 对 于 每 项 已 经 确定 的 危险 ， 评审 团队 检测 系统 并 判断 
系统 能 和 否 安全 规避 该 危险 。 评 审 小 组 报告 中 提出 的 任何 疑点 都 需要 由 系统 开发 团队 解决 。 第 
24 章 将 讨论 不 同类 型 的 评审 ， 包 括 软件 质量 保证 。 

软件 安全 认证 用 在 外 部 构件 引入 安全 关键 系统 时 。 当 系统 所 有 的 模块 都 在 本 地 开发 时 ， 
开发 过 程 使 用 的 所 有 信息 都 能 被 维护 。 然 而 ， 开 发 一 些 能 直接 从 其 他 供应 商 处 购买 的 构件 是 
不 合算 的 。 安 全 关键 系统 开发 的 问题 是 ， 这 些 外 部 构件 可 能 与 本 地 开发 的 构件 有 不 同 的 标 
准 ， 它 们 的 安全 是 未 知 的 。 

因此 ， 对 于 外 部 构件 必须 要 经 过 认证 才能 引入 内 部 系统 中 。 需 要 有 一 个 不 同 于 开发 团队 
的 安全 认证 团队 对 外 部 构件 进行 额外 的 确认 和 验证 ( V&V ) 。 如 果 有 合适 的 外 部 构件 他 们 
会 与 构件 开发 人 员 联 系 ， 了 解 他 们 的 开发 流程 ， 检 测 构件 源 代 码 。 如 果 安 全 认证 团队 认为 外 
部 构件 满足 需求 规格 说 明 且 没有 “隐藏 ”的 功能 ， 他 们 就 允许 在 安全 关键 系统 中 使 用 该 外 部 
构件 。 
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在 许多 工程 领域 ， 负 责 安全 的 系统 工程 师 必 须 是 经 过 认证 的 。 无 经 验 的 、 资 质 差 的 
工程 师 是 不 能 对 安全 负责 的 。 美 国 30 个 州 颁 发 了 一 些 类 型 的 软件 工程 师 执 照 ， 其 中 涉及 
了 安全 相关 系统 开发 ， 这 些 州 要 求 参 与 安全 关键 系统 开发 的 工程 师 有 执照 ， LRE PFK 
平 的 资格 和 经 验 。 这 是 一 个 有 争议 的 问题 ， 在 许多 其 他 国家 是 不 要 求 执照 的 


http://software-engineering-book.com/safety-licensing/ 


12.3.2 ”形式 化 验证 


正如 第 10 章 中 所 讨论 的 那样 ， 软 件 开发 的 形式 化 方法 是 基于 作为 系统 规格 说 明 的 形式 
化 模型 的 。 这 些 形式 化 方法 主要 关注 对 规格 说 明 的 数学 分 析 ， 将 规格 说 明 转 换 成 一 个 更 详细 
的 、 语 义 上 等 价 的 描述 ,或 者 使 用 形式 化 方法 来 验证 系统 的 一 种 描述 和 男 一 种 描述 在 语义 上 
是 等 价 的 。 

确保 安全 关键 系统 的 安全 性 一 直 是 软件 形式 化 开发 方法 的 主要 驱动 力 。 人 全面 的 系统 测试 
异常 昂贵 ， 也 无 法 保证 覆盖 软件 的 所 有 故障 。 对 于 分 布 式 系统 来 说 不 同 构 件 同 时 运行 ， 更 是 
难以 测试 。 一 些 安全 关键 的 地 铁 系 统 就 是 在 20 世纪 90 年 代用 形式 化 方法 开发 的 ( Dehbonei 
and Mejia 1995 ; Behm et al. 1999 ) 。 如 空 客 公 司 也 用 形式 化 方法 开发 关键 系统 (Souyris et al. 
2009 ) 。 

形式 化 方法 可 以 在 V&V 过 程 的 不 同 阶段 中 使 用 : 

1. 开发 系统 的 形式 化 规格 说 明 并 对 其 进行 数学 分 析 可 能 是 为 了 一 致 性 。 这 种 技术 对 发 现 
规格 说 明 中 的 错误 和 遗漏 是 有 效 的 。 模 型 检测 是 一 种 特别 有 效 的 规格 说 明 分 析 方 法 ， 下 一 
会 讨论 它 。 

2. 使 用 数学 证 明 可 以 形式 化 检验 软件 系统 的 代码 和 它 的 规格 说 明 是 一 致 的 。 这 就 要 求 有 
一 种 形式 化 的 规格 说 明 且 对 发 现 程 序 错误 和 某 些 设计 错误 是 有 效 的 。 
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因为 形式 化 的 系统 规格 说 明和 程序 代码 之 间 在 语义 上 存在 较 大 的 差距 ， 所 以 很 难 证 明 
一 个 单独 开发 的 程序 是 和 它 的 规格 说 明 相 一 致 的 。 因 此 ， 程 序 验证 的 工作 现在 是 基于 变换 开 
发 的 。 在 变换 开发 过 程 中 ,形式 化 的 规格 说 明 通 过 一 系列 的 表示 系统 地 转换 成 程序 代码 。 软 
件 工 具 支持 变换 开发 ， 并 且 帮 助 核实 相应 表示 的 一 致 性 。B 方法 很 可 能 是 最 为 广泛 使 用 的 
形式 化 的 变换 方法 (Abrial 2010 )。 这 种 方法 已 经 被 用 于 开发 火车 控制 系统 和 航空 电子 设备 
软件 。 

形式 化 方法 强调 使 用 这 些 方法 能 使 系统 更 加 可 靠 与 安全 。 形 式 化 验证 表明 开发 的 程序 
符合 它 的 规格 说 明 并 且 其 实现 中 的 错误 不 会 危害 系统 的 稳定 性 。 如 果 用 CSP (Schneider, 
1999 ) 这 样 的 语言 写 的 规格 说 明 来 开发 并 发 系统 的 形式 化 模型 ， 可 能 会 发 现 那 些 寻 致 最终 程 
序 死 锁 的 情况 ， 并 且 能 够 解决 这 些 问题 。 这 是 很 难 仅 仅 通过 测试 来 完成 的 。 

然而 ， 形 式 化 规格 说 明和 证 明 并 不 能 保证 软件 在 实际 使 用 中 是 可 靠 的 。 

1. 规格 说 明 可 能 没有 反映 用 户 和 系统 利益 相关 者 真正 的 需求 。 正 如 第 10 章 中 所 提 到 
的 ， 系 统 利益 相关 者 几乎 不 可 能 理解 形式 化 符号 系统 ， 所 以 他 们 不 能 通过 直接 阅读 形式 化 规 
格 说 明 来 找到 错误 和 遗漏 。 这 就 意味 着 形式 化 的 规格 说 明 极 有 可 能 包含 错误 ， 不 是 系统 需求 
的 精确 表示 。 

2. 证 明 可 能 包含 错误 。 程 序 证 明 是 庞大 和 复杂 的 ， 所 以 ， 像 庞大 和 复杂 的 程序 本 号 一 
样 ， 它 们 通常 也 包含 错误 。 

3. 证 明 所 假设 的 使 用 方式 可 能 是 错误 的 。 如 果 系 统 不 按 假设 的 情况 使 用 ， 那么 证 明 就 是 
无 效 的 。 

检验 一 个 重要 软件 系统 需要 很 多 时 间 ， 还 需要 数学 专家 和 专门 的 工具 ， 如 定理 证 明 需 。 
因此 这 是 一 个 极端 昂贵 的 过 程 ， 随 着 系统 规模 的 增加 ， 形 式 化 验证 的 花费 将 不 成 比例 地 增加 。 

很 多 软件 工程 师 认 为 形式 化 验证 是 不 划算 的 ， 他 们 认为 对 系统 的 相同 水 平 信任 程度 可 以 
使 用 其 他 验证 技术 ， 例 如 审查 和 系统 测试 ， 而 这 要 便宜 得 多 。 然 而 ， 一 些 使 用 形式 化 验证 方 
法 的 公司 (例如 空 客 ) 声称 ， 针 对 构件 的 单元 测试 是 不 必要 的 ， 因 为 单元 测试 会 极 大 地 增加 
花费 (Moy et al. 2013 ) 。 

形式 化 方法 和 形式 化 验证 在 关键 软件 系统 的 开发 中 扮演 着 重要 的 角色 。 形 式 化 规格 说 明 
对 发 现 规格 说 明 中 的 问题 是 十 分 有 效 的 ， 这 些 问题 通常 导致 系统 失效 。 尽 管 形式 化 验证 对 于 
大 型 系统 来 说 仍然 是 不 现实 的 ， 但 是 它 能 用 来 检验 那些 安全 要 求 极 高 和 信息 安全 要 求 极 高 的 
构件 。 


12.3.3 ”模型 检测 


使 用 演绎 的 方法 形式 化 地 验证 系统 是 比较 困难 且 昂 贵 的 ， 人 们 又 提出 了 一 些 形式 化 分 
析 方 法 ， 它 们 基于 一 个 更 有 限 的 正确 性 概念 。 这 些 方 法 中 最 为 成 功 的 是 模型 检测 ( Jhala and 
Majumdar 2009 )。 模 型 检测 包括 创建 一 个 系统 模型 ， 并 且 使 用 特殊 的 软件 工具 检查 模型 的 
正确 性 。 模 型 检测 中 的 各 个 阶段 如 图 12-8 所 示 。 

这 种 方法 被 广泛 用 来 检查 硬件 系统 的 设计 ， 并 且 越 来 越 多 地 用 在 像 NASA 的 火星 探测 
车 (Regan and Hamilton, 2004) 和 空 客 公司 的 航空 电子 设备 这 样 的 关键 软件 系统 中 。 

已 经 开发 了 很 多 不 同 的 模型 检测 工具 。SPIN 就 是 一 个 软件 模型 检测 器 的 早期 例子 
(Holzmann 2003 )。 最 近 的 系统 包括 微软 的 SLAM (Ball, Levin, and Rajamani 2011) 和 
PRISM (Kwiatkowska, Norman, and Parker 2011 ). 
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模型 检测 过 程 包括 建立 系统 形式 化 模型 ， 这 里 通常 要 用 到 扩展 有 限 状 态 机 。 模 型 检测 系 
统 使 用 什么 语言 ， 模 型 就 以 什么 语言 表达 。 例 如 ，SPIN 模型 检测 器 使 用 Promela 语言 。 找 
出 一 组 需要 的 性 质 并 以 形式 化 符号 表达 ， 它 们 都 是 基于 时 序 逻辑 的 。 例 如 ， 对 于 野外 气象 站 
系统 ， 一 个 性 质 可 能 是 系统 总 是 从 “记录 ”状态 到 达 “ 传 送 ”状态 。 













系统 的 扩展 


所 需 的 
系统 性 质 


ok. Wit 








模型 检测 器 D 


图 12-8 模型 检测 


模型 检测 器 接着 要 在 模型 中 探测 所 有 路 径 ( 即 所 有 可 能 的 状态 转换 )， 检 查 每 条 路 径 所 
保持 的 性 质 。 如 果 成 功 ， 模 型 检测 需 会 确认 这 个 模型 关于 这 个 性 质 是 正确 的 。 如 果 对 于 某 条 
特殊 的 路 径 此 性 质 不 能 保持 ， 模 型 检测 器 就 输出 一 个 反例 来 说 明 性 质 在 哪里 出 错 了 。 模 型 检 
测 在 并 发 系统 的 有 效 性 验证 中 特别 有 用 ， 众所周知， 由 于 并 发 系统 对 时 间 的 敏感 性 很 高 这 种 
验证 非常 难以 实施 。 检 测 右 可 以 通过 交叉 探测 和 并 发 转换 来 发 现 潜在 问题 。 

模型 检测 中 的 一 个 关键 问题 是 系统 模型 的 创建 。 如 果 模 型 需要 人 工 建立 (从 需求 或 设计 
文档 出 发 )， 这 将 是 一 个 花费 很 高 的 过 程 并 且 会 占用 很 多 时 间 。 另 外 ， 也 有 可 能 建立 的 模型 
不 是 需求 和 设计 要 求 的 精确 模型 。 因 此 ， 如 果 模 型 能 够 从 源 代码 开始 自动 地 建立 是 最 好 的 选 
择 。 有 很 多 现成 的 直接 为 Java、C、C++ 和 Ada 程序 工作 的 模型 检测 器 。 

模型 检测 时 计算 开销 很 大 , .因为 它 使 用 穷 举 方法 来 检查 所 有 通过 系统 模型 的 路 径 。 随 
着 系统 规模 的 增加 ， 状 态 也 随 之 增加 ， 结 果 是 需要 检查 的 路 径 数 目 也 增加 了 。 这 就 意味 着 ， 
对 于 大 型 系统 ， 模 型 检测 可 能 是 不 实际 的 ， 原 因 是 执行 这 些 检 查 要 耗费 大 量 的 计算 时 间 。 
然而 ， 随 着 识别 部 分 未 探索 过 的 状态 的 算法 的 改进 ， 在 关键 系统 开发 中 使 用 模型 检测 变 得 
更 加 可 行 。 由 于 这 些 算 法 被 集成 至 模型 检测 器 ， 所 以 系统 常规 开发 中 将 更 多 地 应 用 模型 检 
WAE o 


12.3.4 ”静态 程序 分 析 


静态 程序 分 析 器 是 一 个 软件 工具 ， 扫 描 程序 源 代 码 ， 检 测 可 能 的 缺陷 和 异常 之 处 。 它 不 
需要 执行 程序 ， 而 是 通过 解析 程序 文本 识别 出 程序 语句 的 各 个 部 分 。 由 此 ， 分 析 语 句 是 否 合 
乎 规则 ， 推 断 出 程序 的 控制 结构 ， 并 计算 出 可 能 的 程序 变量 值 。 静 态 程 序 分 析 器 弥补 了 语言 
编译 器 提供 的 错误 检测 工具 的 不 足 ， 可 以 作为 审查 过 程 的 一 部 分 或 者 作为 一 个 单独 的 V&V 
过 程 活动 。 | 

自动 程序 分 析 比 详细 的 代码 评审 更 快 、 成 本 更 低 。 然 而 ， 它 不 能 够 发 现在 程序 审查 会 议 
中 所 指出 的 几 类 错误 。 

静态 分 析 工 具 (Lopes, Vicente, and Silva 2009) 使 用 的 是 系统 源 代 码 ,， 并 且 至 少 对 于 
一 些 类 型 的 分 析 不 需要 进一步 的 输入 。 这 就 意味 着 程序 员 不 需要 学 习 专 门 的 符号 来 写 系统 规 
格 说 明 ， 因 此 分 析 的 好 处 就 显而易见 了 。 这 让 自动 静态 分 析 比 形式 化 验证 和 模型 检测 更 容易 
引入 开发 过 程 中 。 
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目 动 静态 分 析 的 意图 是 引起 代码 阅读 器 对 程序 中 异常 的 注意 ， 例 如 变量 没有 初始 化 、 变 
量 未 使 用 、 变 量 值 越界 等 。 由 静态 分 析 能 检测 出 来 的 内 容 在 图 12-9 中 列 出 。 


当然 ， 具 体 的 语言 需要 具体 的 检 


查 并 且 取 决 于 该 语言 的 约定 。 异 常 通 党 ee 
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显 那些 在 程序 运行 时 会 出 错 的 东西 。 然 ”| 数据 缺陷 赋值 两 次 但 在 两 次 赋值 间 未 使 用 的 变量 
m, 我们 应 该 明白 ， 这 些 异常 不 一 定 都 数组 越界 
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是 程序 缺陷 。 它 们 可 能 是 故意 制作 的 ， 未 声明 的 变量 
控制 缺陷 
不 受 控制 的 循环 分 支 
在 静态 分 析 需 中 ， 可 能 需要 实现 3 
_ 输 入 /输出 缺陷 
个 级 别 的 检验 : 
参数 个 数 不 匹 配 
静态 分 析 需 知道 程序 员 使 用 像 Java 或 C 没 用 处 的 函数 结果 
这 样 的 语言 编写 常见 的 错误 。 分 析 器 分 ry 
存储 管理 缺陷 | 指针 计算 
ey ee 分 析 内 存 泄漏 
et al. 2006 ) 研究 了 在 C 和 C++ 语言 的 大 型 代码 中 使 用 静态 分 析 ， 发 现 90% 的 错误 是 由 10 
种 特有 错误 造成 的 。 
展 类 型 的 错误 可 以 被 检测 到 。 在 必须 保持 顺序 的 情况 下 (例如 ，A 方法 必须 始终 在 B 方法 之 
前 被 调用 )， 这 种 方法 显得 特别 有 用 。 久 而 久之 ， 机 构 可 以 收集 发 生 在 程序 中 的 常见 错误 信 
3. 断言 检查 。 这 是 静态 分 析 中 最 为 常规 、 最 强大 的 方法 。 开 发 者 在 程序 中 包含 形式 化 断 
A (通常 写成 固定 格式 的 注释 )， 以 声明 在 程序 某 个 位 置 必 须 满 足 的 关系 。 人 例如， 断言 可 能 
语句 。 
静态 分 析 对 查找 程序 中 的 错误 是 很 有 效 的 ， 但 是 一 般 会 产生 大 量 的 “ 误 报 ”。 本 来 没有 
用 断言 的 形式 对 程序 增加 更 多 的 信息 来 减少 。 当 然 ， 这 需要 代码 开发 者 额外 的 工作 来 完成 。 
在 代码 本 身 能 够 被 检查 出 错误 之 前 ， 对 产生 误 报 的 筛选 工作 就 要 完成 。 
序 ， 驱 动 程序 前 溃 会 产生 严重 影响 。 微 软 在 更 广泛 的 范围 内 寻找 安全 问题 以 及 影响 程序 可 靠 
性 的 错误 。 检 查 众所周知 的 问题 如 缓冲 区 溢出 是 有 效 的 ， 这 样 可 以 提高 安全 性 ， 攻 击 者 往往 
静态 分 析 是 一 种 找到 这 些 类 型 漏洞 的 符合 成 本 效益 的 方式 。 
12.4 ”安全 案例 


或 者 是 不 会 产生 不 良 后 果 的 。 不 可 达 的 代码 
ees 
i viai : 
1. 特有 错误 检查 。 在 这 个 级 别 上 ， enw 
未 调用 的 函数 和 程序 
析 人 代码， 查找 出 特有 的 问题 并 且 标 记 出 
成 本 效益 的 .Zheng 和 他 的 合作 者 (Zheng 
2. 用 户 定义 错误 检查 。 在 这 种 方法 中 ， 静 态 分 析 器 的 用 户 可 能 定义 了 错 的 格式 ， 因 此 扩 
息 ， 并且 扩展 静态 分 析 工 具 来 标 出 这 些 错 误 。 
声明 一 些 变 量 的 值 必须 在 x ~ y 的 范围 内 。 分 析 器 符号 化 地 执行 代码 并 突显 断言 不 能 保持 的 
错误 的 代码 部 分 ， 但 是 按 静 态 分 析 器 的 规则 却 检查 出 有 错误 的 可 能 性 。 误 报 的 数目 可 以 通过 
现在 许多 组 织 在 软件 开发 中 使 用 静态 分 析 技 术 。 微 软 利 用 静态 分 析 技 术 检测 硬件 驱动 程 
基于 这 些 问 题 进行 攻击 。 攻 击 可 能 针对 很 少 使 用 的 代码 段 ， 这 些 代码 段 未 进行 过 全 面 测 试 。 
正如 前 面 所 讨论 的 ， 许 多 安全 关键 的 软件 密集 型 系统 处 于 监管 之 下 。 外 部 的 认证 机 构 对 


236 RRD AA TREP LEE 


于 开发 和 部 署 有 重要 影响 。 政 府 是 监管 机 构 ， 以 确保 商业 公司 不 部 署 对 公众 、 环 境 以 及 国际 
经 济 有 威胁 的 系统 。 安 全 关键 系统 的 拥有 者 必须 相信 监管 者 会 尽 全 力 保 证 他 们 系统 的 安全 。 
监管 者 评估 系统 的 安全 案例 ， 并 提出 证 据 和 论据 来 说 明 该 系统 的 正常 运行 不 会 对 用 户 造成 
伤害 。 

证 据 会 在 系统 开发 过 程 中 收集 。 它 包含 危害 分 析 和 缓解 、 测 斌 结果、 静态 分 析 ， 开 发 过 
程 信息 、 评 审 会 议 记 录 等 。 它 被 组 织 和 包装 成 一 个 安全 案例 ， 详 细 地 介绍 了 为 什么 系统 的 所 
有 者 和 开发 者 相信 系统 是 安全 的 。 

安全 案例 是 一 组 文档 ， 它 包括 经 过 确认 的 系统 描述 、 开 发 系统 所 使 用 的 过 程 的 相 
关 人 信息， 以 及 更 重要 的 能 证 明 系 统 安 全 的 逻辑 论证 。Bishop fl Bloomfield ( Bishop and 
Bloomfield 1998 ) 给 安全 案例 下 了 一 个 更 简洁 的 定义 : 

安全 案例 是 一 组 文档 化 的 证 据 ， 它 提供 了 令 人 信服 的 和 有 效 的 论证 ,证 明 在 给 定 的 环境 
下 系统 对 于 特定 的 应 用 是 安全 的 。” 

安全 案例 的 组 成 和 内 容 依赖 于 所 要 确认 的 系统 的 类 型 和 它 的 操作 上 下 文 。 图 12-10 给 出 
了 一 个 软件 安全 案例 的 可 能 组 成 ， 但 是 还 没有 广泛 使 用 的 工业 标准 。 安 全 案例 的 结构 根据 行 
业 和 领域 的 成 熟 度 各 不 相同 。 例 如 ， 原 子 能 安全 案例 已 经 使 用 很 多 年 了 。 它 们 非常 广泛 并 且 
以 一 种 原子 能 工程 师 所 熟悉 的 方式 呈现 。 但 是 ， 医 疗 设备 的 安全 案例 最 近 才 被 引入 。 它 们 的 
结构 更 加 灵活 ， 并 且 案 例 本 号 没有 原子 能 案例 具体 。 


系统 概述 和 对 其 关键 构件 的 描述 | 
从 系统 需求 规格 说 明 中 导出 的 安全 需求 。 其 他 系统 相关 需求 的 详细 内 容 也 会 
包括 在 内 
描述 所 识别 的 危险 和 风险 以 及 所 采取 的 降低 风险 措施 的 文档 。 和 危险 分 析 和 人 危 


危险 和 风险 分 析 险 日 志 


设计 分 析 一 组 结构 化 的 论证 (参见 12.4.1 节 )， 以 证 明 为 什么 设计 是 安全 的 


描述 所 使 用 的 V&V 过 程 ， 适当 的 地 方 还 会 包括 对 系统 的 测试 计划 。 测 试 结 
验证 和 确认 果 的 总 结 会 给 出 所 检测 到 且 改 正 了 的 缺陷 。 如 果 使 用 了 形式 化 方法 ， 会 有 一 个 


形式 化 系统 描述 和 对 此 描述 的 其 他 分 析 。 对 源 代码 的 静态 分 析 记录 
对 所 有 设计 和 安全 评审 的 记录 
参与 安全 相关 的 系统 开发 和 验证 的 所 有 团队 成 员 的 能 力 的 证 据 
在 系统 开发 过 程 中 所 执行 的 质量 保证 过 程 (参见 第 24 BE) 的 记录 
pe 对 所 提出 的 所 有 变更 、 所 执行 的 活动 的 记录 ， 有 时 还 包括 对 这 些 变更 的 安全 
性 的 判断 。 配 置 管理 程序 和 配置 管理 日 志 
”相关 的 安全 案例 “| ”指向 其 他 会 对 此 安全 案例 产生 影响 的 安全 案例 


图 12-10 ”软件 安全 案例 的 内 容 


安全 案例 是 指 一 个 系统 作为 一 个 整体 ， 作 为 该 案例 的 一 部 分 ， 可 能 有 一 个 附属 的 软件 安 
全 案例 ， 所 以 软件 安全 案例 总 是 更 广泛 的 系统 安全 案例 (展示 整个 系统 的 安全 ) 的 一 部 分 。 
当 构造 软件 安全 案例 时 ， 需 要 把 软件 失效 同 更 广泛 的 系统 失效 关联 起 来 ， 说 明 不 会 出 现 这 些 
软件 失效 ， 或 者 是 软件 失效 不 会 以 一 种 能 最 终 导 致 系统 失效 的 方式 传播 。 

安全 案例 都 是 非常 庞大 以 及 复杂 的 文档 因此， 它们 难以 生产 以 及 维护 。 由 于 高 兄 的 成 


© Bishop, P., and R. E. Bloomfield. 1998. “ A Methodology for Safety Case Development.” In Proc. Safety- 
Critical Systems Symposium. Birmingham, UK: Springer. http://www.adelard.com/papers/sss98web.pdf 
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本 ， 安 全 关键 系统 的 开发 人 员 必 须 将 安全 案例 需求 加 到 开发 预算 当中 去 。 

1. Graydon 等 人 (Graydon, Knight, and Strunk 2007) 认为 安全 案例 的 开发 应 该 与 系统 
设计 和 实现 紧 紧 地 结合 在 一 起 。 这 就 意味 着 系统 设计 决策 会 受 安 全 案例 需求 的 影响 。 那 些 可 
能 明显 增加 案例 开发 难度 和 花费 的 设计 选择 必须 尽量 避免 。 

2. 监管 者 对 于 安全 案例 的 可 接受 程度 有 他 们 自己 的 尺度 。 因 此 ,让 开发 人 员 与 监管 人 员 
在 开发 早期 接触 ， 了 解 监管 人 员 对 于 系统 安全 的 期 符 ， 意 义 重 大 。 

由 于 要 时 刻 记 录 以 及 高 费用 的 综合 系统 验证 和 安全 保证 过 程 ， 安 全 案例 的 开发 成 本 巨 
大 。 系 统 变 更 与 重 做 也 增加 了 安全 案例 的 开发 成 本 。 当 系统 有 硬件 或 者 软件 变更 时 ， 大 部 分 
安全 案例 都 可 能 需要 重 写 ， 以 证 明 系 统 的 安全 性 没有 受到 变化 的 影响 。 


12.4.1 结构 化 论证 


决定 一 个 系统 在 使 用 中 是 否 安全 ， 应 该 基于 逻辑 论证 。 这 些 论证 应 该 表明 所 提出 的 证 据 
能 够 支持 系统 信息 安全 性 和 可 依赖 性 的 断言 。 
这 些 断 言 可 能 是 绝对 的 (事件 X 将 会 发 生 或 将 
不 会 发 生 )， 也 可 能 是 以 一 定 的 概率 (事件 Y 
发 生 的 概率 是 0.n)。 论 证 就 是 把 证 据 和 断言 联 
系 起 来 。 如 图 12-11 所 示 ， 论 证 是 一 个 关系 ， 
是 一 个 什么 将 会 发 生 (断言 ) 和 一 组 收集 到 的 
证 据 之 间 的 关系 。 论 证 主要 是 解释 为 什么 断言 Smell 
能 够 从 得 到 的 证 据 中 推断 出 来 。 断 言 是 关于 系 图 12-11 结构 化 论证 
统 信息 安全 性 和 可 依赖 性 的 声明 。 

在 安全 案例 中 的 论证 通常 称 为 “基于 断言 ”的 论证 。 在 现 有 证 据 的 基础 上 ， 关 于 系统 安 
全 提出 了 一 些 断 言 ， 论 证 是 解释 为 什么 断言 正确 的 。 例 如 ， 下 面 的 论证 用 来 证 明 由 控制 软件 
所 执行 的 计算 将 不 会 导致 给 予 用 户 过 量 的 胰岛 素 的 断言 。 当 然 ， 这 是 一 个 简化 了 的 论证 。 一 
个 真正 的 安全 案例 中 应 该 给 出 对 证 据 的 详细 引用 。 

断言 : 胰岛 素 泵 的 一 次 最 大 量 不 超过 maxDose， 这 里 maxDose 是 经 过 核定 的 对 一 个 特 
殊 病 人 一 次 使 用 的 安全 剂量 。 

证 据 : 胰岛 素 泵 软件 控制 程序 的 安全 论证 (12.4.2 节 中 会 讨论 安全 论证 )。 

证 据 : 胰岛 素 泵 的 测试 数据 集 。 在 400 份 测试 (提供 了 全 面 的 代码 覆盖 ) P, 
currentDose 的 值 从 来 没有 超过 maxDose。 

证 据 : 胰岛 素 人 泵 控制 程序 的 静态 分 析 报 告 。 这 种 控制 软件 的 静态 分 析 揭 示 出 没有 任何 异 
常 影响 currentDose 的 值 ， 表 示 要 注射 的 胰岛 素 剂量 的 程序 变量 也 没有 任何 异常 。 

论证 : 给 出 的 安全 证 据 表 明 可 以 计算 出 的 胰岛 素 剂 量 最 大 量 等 于 maxDose。 

总 之 ， 有 充分 的 信心 去 合理 地 假设 ,证 据 证 明了 这 样 的 一 个 断言 ， 即 胰岛 素 泵 不 会 计算 
出 一 个 超出 最 大 单 次 剂量 的 传输 剂量 。 

注意 到 证 据 的 表示 既 宛 余 又 是 多 样 的 。 软 件 经 过 了 多 个 不 同 机 制 的 检查 ， 这 些 机 制 之 间 
存在 很 大 的 重生 性 。 如 在 第 10 章 所 讨论 的 ， 使 用 宛 余 性 和 多 样 性 的 过 程 增强 了 信心 。 如 果 
遗漏 和 错误 不 能 被 一 个 有 效 性 验证 过 程 检 查 出 来 ， 则 很 可 能 会 被 另 一 个 验证 过 程 发 现 。 

通常 会 有 很 多 关于 系统 安全 性 的 断言 。 一 个 断言 的 正确 性 通常 取决 于 其 他 断言 是 否 是 正 
确 的 。 因 此 ， 断 言 可 能 被 组 织 成 层次 的 结构 。 图 12-12 表明 了 对 于 胰岛 素 泵 断言 层次 结构 的 





238 ss F#— ED FZATRRMEPE EEE 
一 部 分 。 为 了 证 明 高 层 断 言 是 正确 的 ， 必 须 先 通过 对 低层 断言 的 论证 。 如 果 可 以 说 明 每 一 低 
层 的 断言 都 是 正确 的 ， 那 么 就 能 够 推断 出 较 高 层次 的 断言 也 是 正确 的 。 


HAKERA 
传送 一 个 不 安全 
的 胰岛 素 剂 量 


”由 软件 所 计算 出 当 录 配置 完毕 时 对 胰岛 素 使 用 者 来 说 轿 
的 单 次 最 大 剂量 不 ee i maxDose 是 安全 剂量 


会 超过 maxDose 





在 正确 的 操作 下 ，| 如 果 软 件 失 败 ， p 
所 计算 出 的 最 大 剂量 所 计算 出 的 最 大 剂 
不 会 超过 maxDose 量 不 会 超过 maxDose 


图 12-12 ”一 个 胰岛 素 泵 的 安全 性 断言 层次 结构 


12.4.2 ”软件 的 安全 论证 


一 个 支持 系统 安全 性 方面 工作 的 一 般 假设 是 ， 能 导致 安全 性 要 求 极 高 系统 危险 的 系统 错 
误 数 目 远 远 小 于 系统 中 可 能 存在 的 总 的 错误 数目 。 安 全 性 保证 可 以 集中 于 这 些 有 潜在 危险 的 
错误 。 如 果 能 够 证 明 这 些 错误 不 可 能 发 生 ， 或 者 是 如 果 发 生 了 ， 相 关 的 危险 也 不 会 导致 系统 
故障 ， 那 么 这 个 系统 就 是 安全 的 。 这 是 软件 安全 论证 的 基础 。 

软件 安全 论证 是 一 种 结构 化 的 论证 ， 说 明 一 个 程序 达到 了 它 的 安全 性 责任 。 在 安全 论证 
中 ， 并 不 需要 证 明 程 序 完全 符合 系统 描述 ， 只 需要 证 明 程 序 的 执行 不 会 进入 不 安全 的 状态 。 
这 就 意味 着 ， 安 全 论证 比 正 确 性 论证 花费 更 少 。 你 不 需要 去 考虑 所 有 的 程序 状态 ， 可 以 仅仅 
将 注意 力 集中 在 可 能 导致 危险 的 状态 上 。 

安全 论证 试图 证 明 ， 假 设 运行 环境 是 正常 的 ， 那么 程序 应 当 是 安全 的 。 安 全 论证 通常 是 
基于 矛盾 的 ， 如 果 你 认为 系统 是 不 安全 的 ， 那么 证 明 不 可 能 达到 一 个 不 安全 的 状态 。 在 创建 
安全 论证 过 程 中 包括 以 下 几 个 步骤 : 

1. 首先 假设 通过 危险 分 析 找 出 来 的 一 个 不 安全 状态 能 通过 程序 执行 而 到 达 。 

2. 写 一 个 谓词 ERREA) 来 定义 此 不 安全 状态 。 

3. 然后 系统 地 分 析 系 统 模型 或 程序 代码 ， 并 给 出 所 有 能 到 达 此 状态 的 程序 路 径 的 所 有 终 
止 条 件 ， 证 明 这 些 路 径 的 终止 条 件 与 不 安全 状态 谓词 是 相 和 矛盾 的 。 如 果 矛 盾 ， 对 不 安全 状态 
的 初始 假设 就 是 不 正确 的 。 

4. 如 果 这 个 证 明 过 程 对 所 有 识别 出 来 的 危险 逐个 使 用 过 ， 那 就 可 以 证 明 软 件 是 安全 的 。 

安全 论证 可 以 应 用 在 不 同 的 水 平 上 ， 从 需求 到 设计 模型 再 到 程序 代码 。 在 需求 水 平 上 ， 
我 们 试图 证 明 没有 遗漏 安全 性 需求 ， 并 且 需 求 没 有 对 系统 做 出 无 效 的 假设 。 在 设计 水 平 上 ， 
我 们 可 能 去 分 析 一 个 系统 的 状态 模型 以 找 出 不 安全 状态 。 在 程序 代码 水 平 上 , 我 们 通过 安全 
性 要 求 极 高 的 代码 来 考虑 所 有 的 路 径 ， 以 证 明 会 导致 予 盾 出 现 的 所 有 执行 路 径 。 
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作为 一 个 例子 ,我 们 来 看 图 12-13 给 出 的 胰岛 素 注射 系统 中 的 一 段 程序 代码 。 这 有 段 代码 
计算 出 要 注射 的 胰岛 素 的 剂量 ， 然 后 采用 一 些 安全 性 检查 来 降低 过 量 胰岛 素 被 注射 的 可 能 
性 。 对 这 段 代 码 所 设计 的 安全 论证 需要 说 明 胰 岛 素 的 输入 剂量 不 会 超过 单 次 剂量 的 上 限 水 
平 。 这 是 每 个 糖尿 病 患者 和 他 们 的 医疗 顾问 相互 讨论 确定 下 来 的 。 


— The insulin dose to be delivered is a function of 
— blood sugar level, the previous dose delivered and 
— the time of delivery of the previous dose 


currentDose = computeInsulin () ; 


// Safety check-adjust currentDose if necessary. 


// if statement 1 
if (previousDose == 0) 


if (currentDose > maxDose/2) 
currentDose = maxDose/2 ; 
} 
else 
if (currentDose > (previousDose * 2) ) 
currentDose = previousDose * 2 ; 


// if statement 2 


if ( currentDose < minimumDose ) 
currentDose = 0 ; 

else if ( currentDose > maxDose ) 
currentDose = maxDose ; 

administerInsulin (currentDose) ; 





图 12-13 有 安全 性 检查 的 胰岛 素 剂 量 计算 


为 了 证 明 安全 性 ， 不 必 证 明 系 统 注 射 了 正确 剂量 ， 只 要 它 没 有 给 病人 注射 过 量 就 可 以 
To 你 的 工作 是 建立 在 假设 maxDose 对 于 系统 用 户 来 说 是 个 安全 水 平 的 基础 上 的 。 

为 了 构造 安全 论证 ， 要 找 出 一 个 定义 不 安全 状态 的 谓词 ， 这 里 是 currentDose > 
maxDose。 接 下 来 就 要 证 明 所 有 的 程序 路 径 都 与 这 个 不 安全 断言 相 巴 盾 。 如 果 是 这 样 ， 这 个 
不 安全 条 件 就 不 可 能 是 真实 的 。 如 果 能 证 明 出 矛盾 ， 就 可 以 很 有 信心 地 说 程序 不 会 计算 出 不 
安全 的 胰岛 素 剂 量 。 可 以 以 图 形 的 形式 构造 和 表示 安全 论证 ， 如 图 12-14 所 示 。 

图 12-14 所 示 的 安全 论证 中 ， 有 3 个 可 能 的 程序 路 径 可 以 引起 administerInsulin 方法 调用 。 我 
们 必须 说 明 所 传输 的 胰岛 素 剂 量 不 会 超过 maxDose。 所 有 到 达 administerInsulin 的 程序 路 径 包 括 : 

1. 证 语句 2 的 两 个 分 支 都 没有 执行 ， 这 只 能 发 生 在 curentDose 大 于 等 于 minimumDose 
和 小 于 等 于 maxDose 时 。 这 是 后 置 条 件 : 

currentDose >= minimumDose and currentDose <= maxDose 

2. 许 语句 2 AY then 分 支 被 执行 ， 这 时 对 currentDose 赋值 0 的 语句 执行 。 因 此 ， 它 的 后 
置 条 件 是 currentDose = 0。 

3. if a) 2 的 else-if 分 支 被 执行 ， 这 时 对 currentDose 赋值 maxDose 的 语句 得 到 执行 。 
因此 ,在 这 条 语句 被 执行 后 ， 我 们 知道 后 置 条 件 是 currentDose = maxDose。 

在 所 有 的 情况 中 ， 后 图 条 件 都 与 不 安全 状态 的 前 置 条 件 ( currentDose> maxDose) £7 
盾 的 。 因 此 我 们 断言 初始 假设 是 不 正确 的 ,计算 是 安全 的 。 

为 了 构造 结构 化 的 论证 ， 使 程序 不 会 做 出 不 安全 的 计算 ， 首先 要 通过 代码 确定 能 够 通 向 
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潜在 的 不 安全 状态 的 所 有 可 能 路 径 。 然 后 由 这 些 不 安全 状态 出 发 ， 反 向 工作 ， 考 虑 通 癌 不 安 
全 状态 的 每 个 路 径 的 所 有 状态 变量 的 最 后 一 次 赋值 。 如 果 能 够 说 明 这 些 变量 中 没有 一 个 赋值 
是 不 安全 的 ， 那 么 就 表示 最 初 的 假设 (计算 是 不 安全 的 ) 是 不 正确 的 。 


Overdose 
administered , 
administerInsulin | 


currentDose > \ 不 安全 状态 
_maxDose 的 前 置 条 件 


矛盾 


currentDose >= minimumDose and 
currentDose <= maxDose 


ea 
£ maxDose / 
assign assign 
if statement 2 Rad nn currentDose = ) 
not executed =S maxDose 
if statement 2 if statement 2 | 
then branch f else branch f 
executed | executed | 


12-14 ”基于 矛盾 证 明 的 非 形 式 化 安全 论证 


反问 工作 很 重要 ， 因 为 它 表 示 你 能 够 忽略 所 有 的 中 间 状 态 ， 只 考虑 通 问 代码 出 口 条 件 的 
那些 最 终 状 态 。 之 前 的 值 对 于 系统 的 安全 性 已 经 无 关 紧 要 。 在 这 个 例子 中 ， 所 有 需要 考虑 的 
是 在 administerInsulin 方法 执行 之 前 对 currentDose 的 最 近 一 次 可 能 的 赋值 。 在 安全 论证 中 
可 以 忽略 一 些 计算 ， 如 图 12-13 中 的 让 语句 1， 因 为 它们 的 结果 会 被 之 后 的 语句 所 覆盖 


RA 


o 安全 关键 系统 是 故障 可 能 导致 人 员 伤害 或 死亡 的 系统 。 

o 人 危险 驱动 的 方法 可 以 用 在 理解 安全 关键 系统 的 安全 需求 上 。 要 找 出 潜在 的 危险 并 且 
分 解 这 些 和 危险 〈 使 用 如 故障 树 分 析 的 方法 )， 以 发 现 它们 的 根本 原因 。 然 后 要 描述 需 
求 来 避免 出 现 问题 或 者 从 问题 中 恢复 。 

e 有 一 个 定义 完好 的 并 经 过 认证 的 开发 过 程 对 安全 关键 系统 开发 非常 重要 。 这 样 的 过 
程 一 定 要 包括 对 潜在 危险 的 识别 和 监控 。 

e 静态 分 析 是 V&V 的 一 种 检查 系统 源 代码 (或 其 他 表示 ) 的 方法 ， 用 于 查找 错误 和 异 
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常 。 它 检查 程序 的 所 有 部 分 ， 而 不 仅仅 是 那些 会 被 测试 的 部 分 。 
o 模型 检测 是 静态 分 析 的 一 种 形式 化 方法 ， 它 彻底 检查 系统 的 所 有 状态 以 发 现 潜在 的 错误 。 
。 安全 和 可 依赖 性 案例 搜集 所 有 能 表明 系统 安全 和 可 靠 的 证 据 。 当 外 部 监管 者 在 系统 
使 用 前 对 系统 进行 验证 时 需要 用 到 安全 案例 。 


阅读 推荐 

《 Software: System Safety and Computers 》 是 一 本 针对 安全 关键 系统 的 各 个 方面 展开 彻底 讨 
论 的 书 。 它 的 长 处 在 于 对 和 危险 分 析 的 前 述 和 从 这 些 分 析 中 导出 需求 。( N. Leveson, Addison- 
Wesley, 1995 ) 

« Safety-Critical Software ò 是 《4 IEEE Software ) 2455S FH], SHE FREREA 
统 。 它 包括 基于 模型 的 安全 关键 系统 的 开发 、 模 型 检测 和 形式 化 方法 。(IEEE Software, 30 
(3), May/June 2013 ) 

« Constructing Safety Assurance Cases for Medical Devices 》 介 绍 了 一 个 如 何 为 镇 痛 泵 创建 
安全 案例 的 实例 。(A. Ray and R. Cleaveland, Proc. Workshop on Assurance Cases for Software- 
Intensive Systems, San Francisco, 2013 ) http://dx.doi.org/10.1109/ASSURE.2013.6614270 


网 站 
KRH PPT; http://software-engineering-book.com/slides/chap12/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/ reliability-and-safety / 


练习 


12.1 指出 6 个 客户 产品 ， 它 们 可 能 由 安全 关键 软件 系统 控制 。 

12.2 为 什么 图 12-3 所 示 的 风险 三 角形 的 边界 容易 随 春 时 间 的 推移 和 变化 了 的 社会 意识 而 
发 生 改 变 ? 

12.3 在 胰岛 素 条 系统 中 ， 用 户 需 要 定期 更 换 针 头 和 胰 品 系 的 供给 ， 还 会 改变 单 次 剂量 的 最 
大 值 和 日 剂量 的 最 大 值 。 提 出 3 个 可 能 发 生 的 用 户 错误 ， 并 给 出 安全 需求 来 避免 这 些 
错误 造成 事故 。 

12.4 一 个 治疗 瘤 症 患 者 的 安全 关键 软件 系统 有 两 个 主要 的 构件 : 

e 一 个 辐射 治疗 仪 ， 能 对 肿瘤 部 位 进行 辐射 治疗 ， 辐 射 剂 量 能 够 控制 。 这 个 仪 帮 是 
由 一 个 通信 式 软件 系统 控制 的 。 

o 一 个 治疗 数据 库 ， 包 括 对 每 位 病人 治疗 的 详细 情况 。 治 疗 需 求 被 输入 到 这 个 数据 
库 中 ， 并 目 动 输出 到 辐射 治疗 仪 中 。 

识别 出 3 个 可 能 出 现在 系统 中 的 危险 。 对 每 个 危险 ， 提 出 能 减少 危险 造成 事故 可 能 性 

的 防范 需求 。 解 释 为 什么 你 提议 的 防范 措施 能 减少 危险 的 发 生 。 

12.5 当 超 过 轨道 限 速 或 者 火车 驶 和 人 一 个 当前 红 灯 的 轨道 段 ( 例 如 ， 当 前 轨道 不 应 该 驶 人 ) 
时 ， 火 车 保护 系统 能 目 动 停止 火车 。 这 个 火车 保护 系统 有 两 个 安全 关键 需求 : 
火车 不 应 该 驶 入 信号 灯 为 红 灯 的 轨道 段 。 
火车 不 会 超过 轨道 的 限 速 。 i 
假设 轨道 段 的 信号 状态 和 速度 限制 在 进入 轨道 段 之 前 就 被 传输 到 列车 的 车 载 软件 ， 请 
从 系统 安全 需求 的 角度 ， 为 车 载 软件 提出 5 个 可 能 的 功能 性 系统 需求 。 
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12.6 解释 一 下 在 软件 系统 开发 中 何 时 使 用 形式 化 描述 和 检验 是 划算 的 。 你 为 什么 认为 安全 
关键 系统 的 工程 师 不 赞成 使 用 形式 化 方法 ? 

12.7 ”为何 使 用 模型 检测 比 和 常规 方法 验证 程序 正确 性 更 加 实惠 ? 

12.8 列 出 需要 系统 软件 安全 案例 的 4 种 系统 类 型 。 解 释 为 什么 需要 安全 案例 。 

12.9 核 废料 存储 设施 中 的 门 锁 控 制 机 制 是 为 了 安全 操作 。 它 能 保证 只 有 在 辐射 防护 量 保 护 
或 辐射 水 平 降低 到 给 定 值 (dangerLevel) 的 情况 下 方 可 进入 ， 这 就 是 说 : 
Ci) 远程 控制 的 辐射 防护 单 安装 在 房间 里 面 ， 门 可 以 由 经 授权 的 操作 人 员 开 局 。 
(Gii) 如 果 房 间 里 的 辐射 水 平 低 于 给 定 值 ， 门 可 以 由 经 授权 的 操作 人 员 开 局 。 
(iii) 经 授权 的 操作 人 员 是 通过 输入 授权 的 人 口 密码 确认 的 。 
图 12-15 中 给 出 的 是 用 来 控制 门 锁 机 制 的 程序 段 。 注 意 这 里 安全 状态 是 入 口 不 应 该 允 
许 进入 。 使 用 本 章 中 讨论 的 方法 ,给 出 此 代码 的 一 个 安全 论证 。 使 用 行 数 指定 特定 的 
语句 。 如 果 你 发 现代 码 是 不 安全 的 ， 对 如 何 修改 该 代码 使 之 安全 给 出 建议 。 


entryCode = lock.getEntryCode () ; 

if (entryCode == lock.authorizedCode) 

{ 
shieldStatus = Shield.getStatus (); 
radiationLevel = RadSensor.get (); 
if (radiationLevel < dangerLevel ) 

state = safe; 

else 


O OnT7n nn fS WPF 


state = unsafe: 
if (shieldStatus == Shield.inPlace() ) 
state = safe; 
if (state == safe) 
{ 
Door. locked = false ; 
Door.unlock (); 


Door. lock ( ); 
Door.locked := true ; 





图 12-15 “门禁 代码 


12.10 从 事 安全 性 相关 系统 的 需求 描述 和 开发 工作 的 软件 工程 师 需 要 某 种 专业 认证 吗 ? 解 
释 你 的 理由 。 
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信息 安全 工程 





目标 

本 章 的 目的 是 介绍 开发 应 用 系统 时 所 需要 考虑 的 诸多 信息 安全 问题 。 阅 读 完 本 章 后， 你 将 : 

e 理解 信息 安全 工程 的 重要 性 ， 以 及 应 用 信息 安全 与 基础 设施 信息 安全 的 区 别 ; 

e 了 解 如 何 用 基于 风险 的 方法 获取 信息 安全 需求 及 分 析 系统 设计 ; 

© 了 解 软件 的 体系 结构 模式 和 针对 信息 安全 系统 工程 的 设计 指导 方针 ; 

o 理解 为 何 信息 安全 测试 和 保证 是 困难 且 昂 贵 的 。 

20 世纪 90 年 代 互 联网 的 广泛 使 用 给 软件 工程 师 带 来 了 新 的 挑战 ， 即 需要 设计 和 实现 能 
保证 信息 安全 的 系统 。 随 着 越 来 越 多 的 系统 与 互联 网 连接 ， 各 种 各 样 的 外 部 攻击 被 人 为 地 设 
计 ， 严 重 威胁 着 系统 的 安全 。 开 发 可 依赖 系统 的 问题 在 急剧 增加 。 系 统 工程 师 不 得 不 考虑 来 
自 怀 有 恶意 的 攻击 者 和 技术 能 手 攻击 者 这 两 类 攻击 者 的 威胁 ， 也 要 考虑 开发 过 程 中 由 一 些 意 
外 人 为 错误 所 导致 的 众多 问题 。 

现在 看 来 ， 设 计 能 抵御 外 部 攻击 并 在 遭受 攻击 后 成 功 恢复 的 系统 是 十 分 必要 的 。 没 有 对 
信息 安全 的 预防 ， 网 络 上 的 系统 不 可 避免 地 会 受到 黑客 的 攻击 。 攻 击 者 可 能 滥用 系统 硬件 、 
盗 究 机 密 数据 或 者 是 破坏 系统 所 提供 的 正常 服务。 ， 

在 信息 安全 系统 工程 中 ， 必 须 考虑 以 下 3 个 信息 安全 的 维度 。 

1. 机 密 性 。 系 统 中 机 密 的 信息 可 能 被 泄露 ， 被 未 获 授权 的 人 或 程序 访问 到 。 例 如 ， 从 电 
子 商 务 系统 神 取 信用 卡 数据 是 一 个 机 密 性 问题 。 

2. 完整 性 。 系 统 中 的 完整 性 信息 可 能 被 损坏 或 引起 错误 ， 使 其 异常 或 不 可 靠 。 例 如 ， 在 
系统 中 删除 数据 的 蠕虫 是 一 个 完整 性 问题 。 

3. 可 用 性 。 可 用 的 系统 或 数据 有 时 可 能 会 无 法 访问 。 使 服务 器 过 载 的 拒绝 服务 攻击 是 系 
统 可 用 性 受到 破坏 的 一 个 例子 。 

这 些 维度 是 密切 相关 的 。 如 果 一 次 攻击 使 得 系统 不 可 用 ， 那 么 将 不 能 实时 更 新 信息 。 这 
意味 着 系统 的 完整 性 可 能 受到 了 损害 。 如 果 一 次 攻击 成 功 并 且 完 整 性 受到 损害 ， 那 么 系统 必 
须 停 止 使 用 并 修复 问题 。 因 而 ， 系 统 的 可 用 性 就 降低 了 。 

从 组 织 的 角度 来 看 ， 信 息 安 全 必须 考虑 3 个 层次 。 

1. 基 础 设施 信息 安全 。 涉 及 所 有 系统 和 网 络 的 信息 安全 维护 ， 它 们 为 组 织 提供 基础 设施 
和 一 套 共 享 服 务 。 

2. 应 用 信息 安全 。 涉 及 个 人 应 用 系统 或 相关 系统 群 的 信息 安全 。 

3. 操作 信息 安全 。 与 组 织 的 系统 的 安全 运行 和 使 用 有 关 。 

图 13-1 是 一 个 应 用 程序 系统 堆栈 的 图 表 ， 它 显示 了 应 用 系统 在 运行 时 如 何 依赖 于 其 他 
系统 的 基础 设施 。 底 层 的 基础 设施 是 硬件 ， 但 应 用 系统 的 软件 基础 设施 可 能 包括 : 

e 操作 系统 平台 ， 例 如 Linux 或 者 是 各 种 Windows 操作 系统 ; 

e 系统 上 运行 的 其 他 通用 应 用 ,如 Web 浏览 器 和 电子 邮件 客户 端 程序 ; 


e 数据 库 管 理 系统 ; 

e 文 持 分 布 式 计算 和 数据 库 访 问 的 中 间 件 ; 

e 用 于 应 用 软件 开发 的 可 复 用 构件 库 。 

网 络 系统 是 软件 控制 的 ， 并 且 网 络 可 能 容 
易 遭 受信 息 安 全 威胁 ， 攻 击 者 可 以 拦截 及 读 取 
或 更 改 网 络 包 。 然 而 ， 这 需要 专门 的 设备 ， 所 
以 大 多 数 的 信息 安全 攻击 是 针对 系统 的 软件 基 
础 设施 。 攻 击 者 专注 于 软件 基础 设施 ， 是 因为 
基础 设施 构件 (如 Web 浏览 器 ) 被 广泛 使 用 。 
攻击 者 可 以 探测 这 些 系统 的 弱点 和 共享 他 们 发 
现 的 漏洞 信息 。 由 于 许多 人 使 用 相同 的 软件 ， 这 种 攻击 具有 广泛 的 适用 性 。 

基础 设施 信息 安全 主要 是 一 个 系统 管理 问题 ， 系 统管 理 员 配 置 基础 设施 以 抵御 攻击 。 系 
统 信息 安全 管理 包括 用 户 和 权限 管理 ， 系 统 软件 部 署 和 维护 ， 以 及 攻击 监控 、 检 测 和 恢复 等 
一 系列 活动 。 | 

1. 用 户 和 权限 管理 。 包 括 问 系统 添加 和 删除 用 户 ， 确 保 系 统 在 需要 的 地 方 采 用 了 适当 的 
用 户 认 证 机 制 ， 设置 系统 的 权限 让 用 户 只 能 访问 到 他 们 应 该 访问 的 那些 资源 。 

2. 系统 软件 部 署 和 维护 。 包 括 系 统 软 件 和 中 间 件 的 安 六 。 对 这 些 系统 进行 正确 配置 以 保 
证 安全 漏洞 不 会 出 现 ; 也 包括 不 断 地 用 新 版 本 或 补丁 更 新 系统 ， 及 时 修补 发 现 的 安全 问题 。 

O 3. 攻击 监控 、 检 测 和 恢复 。 包 括 对 未 授权 的 系统 访问 的 监控 、 检 测 攻击 和 抵御 攻击 策略 
落实 到 位 ， 以 及 备份 程序 和 数据 以 保证 系统 能 在 遭受 外 部 攻击 后 恢复 正常 运行 。 

运行 信息 安全 主要 是 一 个 人 类 和 社会 问题 。 它 的 重点 是 确保 使 用 该 系统 的 人 不 会 做 出 伤 
害 系统 信息 安全 性 的 行为 。 例 如 ， 用 户 在 自己 不 在 场 的 时 候 让 系统 处 于 登录 状态 ， 这 样 攻击 
者 就 可 以 很 容易 地 访问 系统 。 用 户 经 常 采用 不 安全 的 方式 来 更 有 效 地 完成 工作 ， 他 们 这 样 做 
有 他 们 自己 的 合理 理由 。 运 行 信息 安全 的 一 个 挑战 是 提高 对 信息 安全 问题 的 认识 ， 并 找到 安 
全 性 和 系统 效率 之 间 的 正确 平衡 。 | 

网 络 安 全 (cybersecurity) 这 个 术语 现在 通常 用 于 讨论 系统 的 信息 安全 性 。 网 络 安全 是 
一 个 广泛 的 术语 ， 涵 盖 了 公民 、 企 业 和 关键 基础 设施 保护 的 所 有 方面 ， 使 他 们 不 受到 来 自 计 
算 机 和 互联 网 的 威胁 。 网 络 安全 的 范围 包括 所 有 系统 层次 ， 从 硬件 和 网 络 经 过 应 用 系统 到 用 
于 访问 这 些 系 统 的 移动 设备 。 本 书 将 在 第 14 章 讨论 一 般 的 网 络 安全 问题 ， 包 括 基础 设施 信 
BEA PTE LE. 

本 章 专注 于 应 用 信息 安全 工程 问题 : 信息 安全 需求 、 信 息 安 全 设计 、 信 息 安全 测试 。 本 
章 没 有 讨论 通用 的 信息 安全 技术 ， 例 如 加 密 、 访 问 控制 机 制 或 攻击 载体 (如 病毒 和 蠕虫 )。 
计算 机 安全 的 通用 教材 ( Pfleeger and Pfleeger 2007 ; Anderson 2008 ; Stallings and Brown 
2012 ) 中 会 详细 讨论 这 些 技术 。 


13.1 信息 安全 和 可 依赖 性 


信息 安全 性 是 一 个 反映 系统 保护 自己 免 受 内 外 部 攻击 的 能 力 的 系统 属性 。 这 些 外 部 攻击 
的 可 能 原因 是 ， 大 多 数 一 般 用 途 的 计算 机 和 移动 设备 现在 都 已 经 联网 并 且 因 此 可 以 被 外 界 访 . 
问 。 攻 击 的 例子 通常 包括 : 病毒 或 者 木马 的 安装 ， 系 统 服务 未 经 许可 的 使 用 ， 系 统 或 数据 未 
经 许可 的 修改 等 。 














通用 的 共享 应 用 (浏览 希 、 电 子 邮 件 系 统 等 ) 


图 13-1 信息 安全 可 能 涉及 的 系统 层级 
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如 果 你 真 的 想 要 一 个 尽 可 能 安全 的 系统 ,那么 最 好 不 要 连接 互联 网 。 这 样 ， 信 息 安 全 
问题 就 只 需要 确保 授权 用 户 不 会 滥用 系统 ， 以 及 限制 类 似 USB 这 样 的 设备 的 使 用 。 然 而 在 
实践 当中 ， 对 于 大 多 数 系统 来 说 连接 网 络 的 好 处 是 巨大 的 ， 所 以 与 互联 网 断 开 连 接 是 不 可 
行 的 。 

在 有 些 系统 中 ,信息 安 全 性 是 可 依赖 性 中 最 为 重要 的 内 容 。 军 事 系 统 、 电 子 商 务 系统 以 
及 机 要 信息 处 理 和 交换 系统 都 需要 具有 很 高 的 信息 安全 等 级 。 比 方 说 ， 没 有 机 票 预订 系统 是 
很 不 方便 的 ， 会 耽误 机 票 出 售 。 不 过 ， 如 果 系 统 是 不 安全 的 ,攻击 者 可 能 删除 所 有 的 订 票 信 
息 ， 那 么 日 常 的 航班 运行 将 无 法 继续 。 

与 可 依赖 性 的 其 他 方面 一 样 ， 有 一 个 与 信息 安全 性 有 关 的 专门 术语 集 ( Pfleeger and 
Pfleeger 2007 )。 这 个 术语 如 图 13-2 所 示 。 图 13-3 用 来 目 Mentcare 系统 的 信息 安全 故事 来 说 
明 这 些 术 语 。 图 13-4 说 明了 图 13-2 中 定义 的 信息 安全 概念 如 何 应 用 到 这 个 信息 安全 故事 中 ， 


利用 系统 漏洞 ， 攻 击 者 有 目的 地 对 系统 资产 或 财物 造成 损害 。 攻 击 可 能 是 外 部 攻 
击 ， 也 可 能 是 内 部 攻击 
一 种 减少 系统 漏洞 的 保护 措施 。 加 密 是 一 个 控制 的 例子 ,减少 了 弱 访 问 控制 系统 


EA) Ohta 
可 能 对 计算 机 系统 造成 的 损失 或 损害 。 这 可 能 是 针对 数据 的 损失 或 损坏 ， 也 可 能 
是 当 信息 安全 漏洞 必须 修复 时 花费 的 时 间 和 工作 量 
有 可 能 (潜在 ) 造成 损失 或 损害 的 情况 。 你 可 以 把 威胁 当 作 一 个 受到 攻击 的 系统 漏洞 
基于 计算 机 的 系统 弱点 ， 可 能 利用 漏洞 造成 损失 或 损害 


图 13-2 ”信息 安全 术语 





未 经 授权 访问 的 Mentcare 系统 


诊所 工作 人 员 使 用 用 户 名 和 密码 登录 Mentcare 系统 。 该 系统 要 求 密 码 至 少 8 个 字符 长 ， 但 允许 任 
何 密码 设置 都 无 须 进一步 的 检查 。 一 名 罪犯 发 现 一 位 高 薪 体育 明星 正在 接受 心理 健康 问题 的 治疗 
他 想 获 得 非法 访问 该 系统 的 信息 ， 以 便 勒 索 这 位 明星 ， 

通过 假扮 一 名 相关 的 亲属 ， 他 在 心理 健康 诊所 与 护士 交谈 ， 发 现 了 如 何 访问 系统 以 及 关于 这 
名 护士 和 他 们 家 人 的 个 人 信息 。 通 过 检查 姓名 证 章 ， 他 发 现 一 些 可 以 访问 系统 的 人 的 名 单 。 然 后 ， 
他 试图 使 用 这 些 名 字 登 录 系 统 ， 并 系统 性 地 猜测 可 能 的 密码 ， 比 如 护士 子女 的 名 字 。 





图 13-3 ”关于 Mentcare 系统 的 信息 安全 故事 





Re 例子 

资产 | 每 位 将 接受 或 已 接受 治疗 病人 的 记录 | 
| at 和 EW | 
一 个 密码 校 验 系统 ， 不 允许 用 户 密码 是 常见 的 名 字 或 字典 里 常见 的 单词 

潜在 的 经 济 损失 来 自 于 未 来 不 想来 治疗 的 病人 ， 因 为 他 们 不 信任 该 诊所 保留 他 们 
的 数据 。 由 于 体育 明星 的 法 律 行动 而 导致 的 经 济 损失 ， 声 誉 受 损 
一 名 未 经 授权 的 用 户 通过 猜测 另 一 名 授权 用 户 的 凭证 (登录 名 和 密码 ) 来 获取 对 系 
统 的 访问 权限 

身份 验证 是 基于 不 要 求 强 口令 的 密码 系统 ， 用 户 可 以 设置 很 容易 被 猫 到 的 密码 


图 13-4 ”信息 安全 术语 示例 
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系统 源 洞 可 能 因为 需求 问题 、 设 计 问 题 或 实现 问题 而 出 现 , 或 者 由 人 类 、 社 会 或 组 织 的 
缺陷 造成 。 人 们 也 许 会 选择 易于 猜测 的 密码 或 在 他 们 可 以 找到 的 地 方 写 下 密码 。 系 统管 理 员 
在 设置 访问 控制 或 配置 文件 时 出 错 ， 用 户 不 安装 或 不 使 用 保护 软件 。 人 然而， 我 们 不 能 简单 地 
把 这 些 问 题 列 为 人 为 错误 。 用 户 的 错误 或 遗漏 经 常 反映 出 不 恨 的 系统 设计 决策 ， 人 例如， 频繁 
的 密码 更 改 (因此 用 户 要 写 下 他 们 的 密码 7 或 复杂 的 配置 机 制 。 

可 能 出 现 4 种 信息 安全 威胁 : 

1. 拦截 威胁 。 即 攻击 者 获得 对 某 些 资产 的 访问 。 因 此 ， 对 于 Mentcare 系统 一 个 可 能 的 
威胁 是 攻击 者 获得 了 对 某 位 患者 的 就 诊 记 录 的 访问 权限 。 

2. 中 断 威胁 。 即 攻击 者 使 得 系统 的 一 部 分 不 可 用 。 所 以 ， 一 个 可 能 的 中 断 威胁 是 对 于 系 
统 数据 库 服 务 硕 的 拒绝 服务 攻击 。 

3. 修改 感 胁 。 即 攻击 者 算 改 系统 资产 。 在 Mentcare 系统 中 ， 一 个 可 能 的 修改 威胁 是 攻 
击 者 更 改 或 破坏 病人 的 记录 信息 .。 

4. 伪造 威胁 。 即 攻击 者 向 系统 中 插 人 错误 信息 。 这 在 Mentcare 系统 中 可 能 算 不 上 是 一 
个 严重 的 威胁 ， 但 是 对 于 银行 系统 来 说 绝对 是 个 巨大 威胁 ， 将 钱 转 入 犯罪 者 的 账户 这 样 的 虚 
假 交 易 可 能 被 加 和 系统 中 。 

增强 系统 信息 安全 性 的 控制 手段 基于 规避 、 检 测 和 恢复 这 三 种 基本 思想 : 

1. 漏洞 规避 。 用 来 确保 攻击 无 法 成 功 的 控制 方法 。 这 里 使 用 的 策略 是 ， 设 计 系 统 使 信息 
安全 性 问题 得 到 避免 。 比 如 说 ， 敏 感 的 军用 系统 不 连接 到 公用 网 络 ， 这 样 外 部 访问 就 会 很 困 
难 。 同 样 ， 应 该 考虑 使 用 加 密探 制 手段 。 任 何 未 经 授权 的 攻击 者 不 能 对 加 密 文 件 进行 访问 。 
在 现实 中 ， 破 解 强化 的 加 密 文 件 是 非常 昂贵 并 且 费 时 的 。 

2. 攻击 检测 和 压制 .控制 的 意图 在 于 检测 和 压制 攻击 。 这 些 控 制 包 括 在 系统 中 加 入 监控 
系统 运行 并 检查 异常 活动 模式 的 功能 。 如 果 检 测 到 这 些 攻击 ， 接 下 来 可 能 会 采取 行动 ， 比 如 
关闭 部 分 系统 ， 限 制 某 些 用 户 的 访问 ， 等 等 。 

3. 暴露 限制 与 恢复 。 文 持 从 间 题 中 恢复 的 控制 方法 。 这 些 控制 可 以 是 自动 备份 的 策略 和 
信息 “镜像 *， 也 可 以 是 保险 措施 ， 弥 补 一 次 成 功 攻 击 系统 所 造成 的 损失 。 

信息 安全 与 可 依赖 性 的 其 他 属性 一 一 可 靠 性 、 可 用 性 、 安 全 性 和 韧性 密切 相关 。 

1. 信息 安全 和 可 靠 性 。 如 果 一 个 系统 受到 攻击 ， 作 为 攻击 的 后 果 ， 系 统 或 它 的 数据 被 破 
坏 ， 那 么 ， 这 可 能 会 导致 系统 失效 ， 和 危及 系统 的 可 靠 性 。 

系统 开发 中 的 错误 可 能 会 导致 信息 安全 漏洞 。 如 果 一 个 系统 不 拒绝 意外 的 输入 或 不 检查 
数组 边界 ， 那 么 攻击 者 可 以 利用 这 些 弱 点 获得 对 系统 的 访问 。 例 如 ， 未 检查 输入 的 有 效 性 可 
能 意味 看 攻击 者 可 以 注 人 并 执行 恶意 代码 。 

2. 信息 安全 和 可 用 性 。 基 于 Web 系统 的 常见 攻击 是 拒绝 服务 攻击 ， 其 中 Web 服务 器 被 
淹没 在 来 日 一 系列 不 同 来 源 的 服务 请 求 中 。 这 种 攻击 的 目的 是 使 系统 不 可 用 。 这 种 攻击 的 一 
个 变种 是 用 这 种 类 型 的 攻击 威胁 一 个 网 站 ， 以 求 文 付 赎金 给 攻击 者 。 

3. 信息 安全 和 安全 性 。 再 次 重申 ， 关 键 问 题 是 破坏 系统 和 它 的 数据 的 攻击 。 安 全 检查 基 
于 如 下 假设 : 我 们 能 够 分 析 安 全 关键 软件 的 源 代 码 ， 执 行 代 码 是 对 源 代码 完全 准确 的 翻译 。 
如 果 不 是 这 样 的 话 ， 因 为 攻击 者 改变 了 执行 代码 ， 可 能 会 诱发 安全 相关 的 失效 以 及 导致 为 软 
件 所 做 的 安全 预案 失效 。 | 

和 安全 性 一 样 ， 我 们 不 能 给 系统 的 信息 安全 性 分 配 一 个 数值 ， 也 不 能 为 追求 信息 安全 而 
穷 举 测 试 系统 。 安 全 性 和 信息 安全 可 以 被 认为 具有 一 种 “负面 的 ”或 “不 应 该 ”的 特性 ， 因 
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为 它们 涉及 那些 不 该 发 生 的 事 。 由 于 我 们 无 法 证 明 负面 ， 所 以 无 法 证 明 一 个 系统 是 安全 的 或 
信息 安全 的 。 

4. 信息 安全 和 和 韧性。 韧性 将 在 第 14 章 中 介绍 ， 它 是 一 个 系统 特性 ， 反 映 了 抵抗 损害 事 
件 并 从 损害 事件 中 恢复 的 能 力 。 在 网 络 化 软件 系统 中 最 可 能 的 损害 事件 是 茶 些 网 络 攻 击 ， 所 
以 目前 在 韧性 方面 所 做 的 大 部 分 工作 是 防止 、 检 测 并 从 攻击 中 恢复 过 来 。 

如 果 我 们 要 创建 可 靠 、 可 用 和 安全 的 软件 密集 型 系统 ， 就 必须 维护 信息 安全 。 它 不 是 附 
加 的 一 一 可 以 之 后 再 添加 ， 而 是 必须 在 开发 生命 周期 从 早期 需求 到 系统 运行 的 所 有 阶段 中 考 
虑 信息 安全 性 。 


13.2 信息 安全 和 组 织 


建立 信息 安全 的 系统 是 昂贵 和 不 确定 的 。 对 信息 安全 失效 的 成 本 进行 预测 是 不 可 能 的 ， 
所 以 公司 和 其 他 组 织 发 现 很 难 决定 应 该 在 系统 信息 安全 方面 花 多 少 钱 。 在 这 方面 ， 信 息 安全 
和 安全 性 是 不 同 的 。 有 法 律 规定 工作 场所 和 运营 的 安全 ， 安 全 关键 系统 的 开发 者 必须 遵守 这 
些 法 律 而 不 去 考虑 成 本 。 如 果 他 们 使 用 一 个 不 安全 的 系统 ， 可 能 会 受到 法 律 诉讼 。 然 而 ， 除 
非 一 个 信息 安全 失效 泄露 了 个 人 信息 ， 否 则 没有 法 律 去 防止 部 署 无 法 保障 信息 安全 的 系统 。 

公司 评估 风险 和 损失 ， 这 些 风险 和 损失 可 能 来 自 于 对 系统 资产 的 某 种 类 型 的 攻击 。 然 
后 ， 他 们 可 能 认为 接受 这 些 风险 更 合算 ， 而 不 是 建立 一 个 可 以 阻止 或 击 退 外 部 攻击 的 信息 安 
全 系统 。 信 用 卡 公司 应 用 这 种 方法 进行 欺诈 预防 。 人 们 通常 可 能 采用 新 技术 来 减少 信用 卡 诈 
蝙 。 然 而 ， 对 于 这 些 公司 来 说 ， 补 偿 因 欺 诈 而 受到 损失 的 用 户 ， 比 购买 和 部 署 预防 欺诈 的 技 
术 更 便宜 。 y, 

因此 信息 安全 风险 管理 是 一 种 业务 而 不 是 技术 问题 。 必 须 考虑 一 个 成 功 的 系统 攻击 带 来 
的 经 济 和 声誉 损失 ， 同 时 也 要 考虑 为 减少 损失 而 部 署 的 信息 安全 程序 和 技术 的 成 本 。 为 了 让 
风险 管理 有 效 ， 组 织 应 该 有 一 个 文档 化 的 信息 安全 策略 : 

1. 必须 保护 的 资产 。 将 严格 的 信息 安全 程序 应 用 于 所 有 的 组 织 资产 没有 意义 。 许 多 资产 
是 不 保密 的 ， 公 司 可 以 通过 免费 提供 资产 来 提高 其 形象 。 保 持 公共 领域 信息 安全 的 成 本 远 低 
于 保持 机 密 信息 安全 的 成 本 。 

2. 不 同类 型 资产 所 要 求 的 保护 水 平 。 并 非 所 有 的 资产 都 需要 相同 的 保护 水 平 。 在 某 些 情 
况 下 (例如 ,敏感 的 个 人 信息 )， 高 水 平 的 信息 安全 是 必需 的 ， 对 于 其 他 信息 ,损失 的 后 果 
可 能 是 次 要 的 ， 所 以 较 低 的 信息 安全 水 平 足够 了 。 因 此 一些 信 息 可 以 提供 给 任何 授权 和 痘 
录用 户 ， 其 他 信息 可 能 更 敏感 ， 只 有 特定 角色 或 职位 的 用 户 可 用 。 

3. 个 人 用 户 、 管 理 者 和 组 织 的 职责 。 信 息 安全 策略 应 该 列 出 对 用 户 的 期 望 一 例如 ,使 
用 强 密码 ， 注 销 计算 机 ， 锁 好 办 公 室 。 它 还 定义 了 用 户 可 以 从 公司 得 到 什么 ， 比 如 备份 和 信 
息 归档 服务 ， 以 及 设备 供应 。 

” 4. 现 有 的 信息 安全 程序 和 技术 。 出 于 实用 性 和 成 本 的 原因 ， 继 续 使 用 现 有 的 技术 来 保证 
信息 安全 是 必 不 可 少 的 ， 即 使 这 些 技术 存在 一 些 已 知 的 局 限 性 。 例 如 ， 公 司 可 能 需要 使 用 登 
录 名 / 密码 进行 身份 验证 ， 因 为 其 他 方法 很 可 能 被 用 户 拒绝 。 

信息 安全 策略 经 常设 置 通用 信息 访问 策略 ， 它 应 该 在 整个 组 织 适 用 。 例 如 ， 访 问 策略 可 
以 基于 访问 信息 的 人 的 权限 或 资历 。 因 此 ， 军 事 信息 安全 策略 可 能 是 :“ 阅 读者 仅 可 以 查阅 
那些 文档 等 级 与 阅读 者 的 审查 等 级 相同 或 者 低 于 阅读 者 的 审查 等 级 的 文档 ”这 意味 着 如 果 
一 个 阅读 者 的 审查 等 级 为 “绝密 "”， 他 可 以 访问 标 为 “绝密 ”“ 机 密 ” 或 者 “公开 ”的 文档 ， 
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但 是 不 可 以 访问 标记 为 “最 高 机 密 ” 的 文档 。 

信息 安全 策略 的 要 点 是 告知 组 织 中 涉及 信息 安全 的 每 个 人 ， 所 以 不 应 该 是 过 长 的 详细 说 
明 的 技术 文档 。 从 信息 安全 工程 的 角度 来 看 ， 信 息 安 全 策略 从 广义 上 定义 了 该 组 织 的 信息 安 
全 目标 。 信 息 安全 工程 关注 实现 这 些 目标 。 


13.2.1 信息 安全 风险 评估 


县 安全 风险 评估 和 管理 是 组 织 活动 ， 专注 于 识别 和 理解 组 织 中 信息 资产 (系统 和 数 
HE) 的 风险 。 原 则 上 ， 各 项 风险 评估 应 该 对 所 有 资产 进行 ， 然 而 ， 在 实践 中 这 可 能 是 不 切实 
际 的 一 一 如 果 大 量 的 现 有 系统 和 数据 库 需 要 进行 评估 的 话 。 在 这 种 情况 下 ， 通 用 的 评估 可 能 
适用 于 所 有 的 系统 和 数据 库 。 然 而 ， 各 项 风险 评估 应 当 针 对 新 系统 进行 。 

风险 评估 和 管理 是 组 织 活动 ， 面 不 是 属于 软件 开发 生命 周期 的 一 部 分 的 技术 活动 。 其 原 
因 是 一 些 类 型 的 攻击 不 是 基于 技术 的 ， 而 是 针对 更 通用 的 组 织 信息 安全 的 弱点 。 人 例如， 攻击 
者 可 以 通过 假装 是 一 个 可 信任 的 工程 师 获 取 对 设备 的 访问 。 如 果 组 织 有 专门 的 过 程 来 通过 设 
备 供应 商检 查 每 次 访问 是 否 都 是 事先 计划 的 ， 那 么 就 可 以 阻止 这 种 类 型 的 攻击 。 这 种 方法 比 
试图 使 用 技术 解决 问题 的 方法 要 简单 得 多 。 

当 要 开发 新 的 系统 时 ， 信 息 安全 风险 评估 和 管理 应 该 是 一 个 持续 的 过 程 ， 贯 穿 从 最 初 的 
规格 说 明 到 运营 使 用 的 整个 开发 生命 周期 。 风 险 评估 的 步骤 是 : 

1. 初步 风险 评估 。 初 步 风 险 评估 的 目的 是 识别 适用 于 该 系统 的 通用 风险 并 决定 是 否 可 以 
在 合理 的 成 本 下 达到 适当 的 信息 安全 等 级 。 在 这 个 阶段 ， 没 有 详细 的 系统 要 求 、 系 统 设 计 或 
实施 技术 的 决定 。 你 不 知道 潜在 的 技术 漏洞 ， 或 包括 在 复 用 系统 构件 或 中 间 件 中 的 控制 。 因 
此 ， 风 险 评估 应 该 侧重 于 识别 和 分 析 系 统 的 高 层次 风险 。 风 险 评估 过 程 的 结果 是 用 来 帮助 识 
别 信息 安全 需求 的 。 

2. 设计 风险 评估 。 风 险 评估 发 生 在 整个 系统 开发 过 程 中 ， 可 以 借助 系统 设计 和 实现 的 技 
术 决 策 进行 告知 。 评 估 的 结果 可 能 会 改变 信息 安全 需求 和 增加 新 的 需求 。 识 别 出 已 知 和 潜在 
的 漏洞 ， 并 用 于 系统 的 实现 、 测 试 和 部 署 决策 。 

3. 运行 风险 评估 。 风 险 评估 过 程 侧重 于 系统 的 使 用 和 可 能 出 现 的 风险 。 例 如 ， 当 系统 用 
在 一 个 常 被 中 断 的 环境 中 时 ， 一 种 信息 安全 风险 是 已 登录 的 用 户 离开 了 ， 计 算 机 无 人 值守 ， 
无 人 解决 出 现 的 问题 。 为 了 应 对 这 种 风险 ， 可 以 指定 一 个 超时 要 求 ， 这 样 用 户 在 一 段 时 间 不 
活动 后 可 以 自动 注销 。 

运行 风险 评估 在 系统 部 署 和 投入 使 用 之 后 应 该 继续 。 在 系统 定义 时 做 出 的 系统 运行 需求 
假设 可 能 是 不 正确 的 。 机 构 的 改变 可 能 意味 着 系统 以 不 同 于 原 计 划 的 方式 使 用 。 因 此 ， 运 行 
风险 评估 会 产生 新 的 信息 安全 需求 ， 这 些 需求 必须 在 系统 升级 时 实现 。 


13.3 ”信息 安全 需求 


系统 的 信息 安全 需求 描述 与 安全 需求 有 很 多 相似 之 处 。 对 它们 进行 量化 描述 是 不 太 现实 
的 ， 信 息 安 全 需求 往往 是 “不 应 该 ”需求 类 型 ， 它 定义 那些 无 法 接受 的 系统 行为 ， 而 不 是 定 
义 系统 功能 。 

但 是 ,信息 安全 性 比 安全 性 更 有 挑战 ， 有 以 下 几 个 原因 : | 

1. 当 考虑 到 安全 性 的 时 候 ， 可 以 认为 系统 所 安装 的 环境 不 是 有 敌意 的 。 没 有 人 想 要 引起 
一 个 安全 相关 的 事故 。 当 考虑 到 信息 安全 性 的 时 候 ， 必 须要 假设 对 系统 的 攻击 是 故意 的 ， 并 
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且 系统 的 攻击 者 了 解 系统 的 弱点 。 


2. 当 系统 失效 并 带 来 安全 人 性 的 风险 时 ， 需 要 寻找 导致 失效 的 错误 或 者 疏忽 。 当 故意 的 
攻击 导致 系统 失效 时 ， 找到 根本 原因 可 能 更 加 困难 ， 因 为 攻击 者 可 能 会 试图 掩盖 系统 失效 的 
原因 。 

3. 通常 关闭 系统 或 者 降低 系统 服务 可 以 避免 安全 相关 的 失效 ， 这 些 做 法 是 可 以 接受 的 。 
然而 ， 对 系统 的 攻击 可 能 是 拒绝 服务 攻击 ， 目 的 就 是 要 破坏 系统 的 可 用 性 。 关 闭 了 系统 就 意 
味 着 攻击 成 功 。 

4. 安全 相关 事件 不 是 由 聪明 的 对 手 制造 的 。 而 攻击 者 可 以 在 一 系列 攻击 中 试探 系统 的 防 
御 ， 在 他 更 加 了 解 系统 以 及 系统 的 反应 的 时 候 可 以 改进 攻击 的 方式 。 

这 些 区 别 意 味 着 信息 安全 需求 的 成 本 一 定 要 比 安全 需求 的 成 本 高 。 安 全 需求 导致 产生 功 
能 性 系统 需求 ， 需 要 提供 对 可 能 引发 系统 安全 相关 失效 的 事件 和 缺陷 的 保护 。 它 们 更 多 关注 
检查 问题 并 在 问题 发 生 时 采取 行动 。 相 反 ， 有 很 多 信息 安全 相关 的 需求 覆盖 了 系统 所 面临 的 
各 种 威胁 。 

Firesmith (Firesmith，2003 ) 找 出 了 包含 在 系统 规格 说 明 中 的 10 类 信息 安全 需求 : 

1. 身份 验证 需求 定义 系统 是 否 应 该 在 用 户 与 之 交互 之 前 辨认 其 身份 ; 

2. 认证 需求 定义 系统 如 何 验 证 用 户 号 份 ; 

3. 授权 需求 定义 合法 用 户 的 权力 和 访问 许可 ; 

4. 免疫 需求 定义 系统 如 何 保护 自己 免 受 病毒 、 晴 虫 以 及 类 似 威胁 的 人 侵 ; 

5. 完整 性 需求 定义 如 何 避 免 数据 损坏 ; 

6. 入侵 保护 需求 定义 在 系统 中 应 该 使 用 什么 机 制 来 检测 对 系统 的 攻击 ; 

7. 不 可 抵赖 需求 定义 参与 交易 的 一 方 不 能 对 自己 已 经 做 出 的 交易 抵赖 ; 

8. 隐私 需求 定义 如 何 维 护 数 据 的 私密 性 ; 

9. 信息 安全 的 审计 需求 定义 如 何 对 系统 的 使 用 进行 审计 和 检查 ; 

10. 系统 维护 的 信息 安全 需求 定义 应 用 如 何 避 免 因 信息 安全 机 制 的 意外 失效 所 导致 的 经 
授权 的 修改 。 

当然 ， 你 不 会 在 每 个 系统 中 看 到 所 有 这 些 种 类 的 需求 。 特 定 的 需求 取决 于 特定 的 系统 、 
特定 的 使 用 环境 以 及 特定 的 用 户 。 

初步 风险 评估 和 分 析 的 目的 是 识别 系统 和 相关 数据 的 通用 信息 安全 风险 。 这 种 风险 评估 
对 信息 安全 需求 工程 过 程 是 一 个 重要 的 输入 。 可 以 提出 信息 安全 需求 来 文 持 通用 的 风险 管理 
规避 、 检 测 和 缓解 策略 。 

1. 风险 规避 需求 列 出 了 在 设计 系统 时 应 避免 的 风险 ， 以 便 使 这 些 风险 根本 不 可 能 出 现 。 

2. 风险 检测 需求 定义 机 制 来 识别 出 现 的 风险 ， 并 在 损失 发 生 之 前 中 和 风险 。 

3. 风险 缓解 需求 前 述 了 系统 应 该 如 何 设计 ， 以 便 它 可 以 恢复 和 修复 一 些 损失 发 生 后 的 系 
统 资 产 。 

风险 驱动 的 信息 安全 需求 过 程 在 图 13-5 中 给 出 。 此 过 程 中 的 阶段 有 : 

1. 资 产 识 别 。 识 别 出 可 能 需要 保护 的 系统 资产 。 系 统 自 身 或 者 是 特殊 的 系统 功能 以 及 系 
统 相 关 的 数据 都 是 资产 。 

2. 资产 价值 评估 。 估 计 你 所 识别 的 资产 的 价值 。 

3. 暴露 评估 。 也 就 是 评估 与 每 一 份 资产 相关 联 的 潜在 损失 。 这 个 阶段 应 该 考虑 到 如 信息 
失窃 一 类 的 直接 损失 、 人 恢复 的 花费 ， 以 及 可 能 的 声誉 上 的 损失 。 
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图 13-5 ”信息 安全 需求 的 初步 风险 评估 过 程 





4. 威胁 识别 。 就 是 识别 对 系统 资产 的 每 一 项 威胁 。 

5. 攻击 评估 。 需 要 把 每 项 威胁 分 解 为 可 能 对 系统 的 各 个 攻击 ， 并 给 出 这 些 攻击 会 以 什么 
方式 进行 。 可 以 使 用 攻击 树 (Schneier 1999 ) 来 分 析 可 能 的 攻击 。 这 与 故障 树 相 类 似 ， 应 该 
在 树 根 的 部 分 以 一 个 威胁 开始 ， 并 识别 可 能 的 攻击 以 及 这 些 攻击 将 是 如 何 进行 的 。 

6. 控制 识别 。 提 出 为 保护 资产 而 可 能 使 用 的 控制 方式 。 这 些 控 制 是 通过 一 些 技术 机 制 来 
保护 资产 ， 比 如 加 密 。 

7. 可 行 性 评估 。 评估 技术 的 可 行 性 以 及 所 提出 的 控制 的 开销 。 使 用 昂贵 开销 的 控制 来 保 

护 价 值 不 高 的 资产 是 不 值得 的 。 
| 8. 信息 安全 需求 定义 。 使 用 关于 暴露 、 威 胁 和 控制 评估 的 知识 得 出 系统 信息 安全 需求 。 
它们 可 能 是 系统 基础 设施 的 需求 或 是 应 用 系统 的 需求 。 

Mentcare 病人 管理 系统 是 一 个 信息 安全 关键 的 系统 。 图 13-6 和 图 13-7 是 记录 软件 系统 
风险 分 析 的 报告 片段 。 图 13-6 是 资产 分 析 ， 它 描述 了 系统 中 的 资产 及 其 价值 。 图 13-7 显示 
了 系统 可 能 面临 的 一 些 威胁 。 
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图 13-6 Mentcare 系统 初步 风险 评估 报告 中 的 资产 分 析 






















一 旦 初步 的 风险 评估 完成 ， 就 可 以 提出 需求 ， 对 系统 来 说 由 在 规避 、 检 测 和 缓解 风险 。 
然而 ， 创 建 这 些 需求 不 是 一 个 刻板 或 自动 化 的 过 程 ， 需 要 工程 师 和 领域 专家 基于 他 们 对 风险 
分 析 和 软件 系统 功能 性 需求 的 理解 来 提出 建议 。 下 面 是 Mentcare 系统 信息 安全 需求 和 相关 
风险 的 一 些 例子 : | 

1. 在 诊疗 阶段 的 开始 ， 病 人 信息 必须 被 下 载 ， 从 数据 库 下 载 到 系统 客户 端的 一 个 安全 
区 域 。 
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实现 成 本 低 ， 但 是 必须 小 心 
密 钥 的 分 发 ， 并 确保 在 紧急 情 
况 下 能 得 到 密 钥 

要 求 所 有 用 户 使 用 生物 机 
制 进行 身份 验证 。 记 录 所 有 | 技术 可 行 但 解决 方案 成 本 高 
对 病人 信息 的 更 改 以 跟踪 系 | 可 能 用 户 会 抵触 
统 的 使 用 情况 


只 允许 从 物理 上 安全 的 地 
方 进行 系统 管理 


未 经 授权 的 用 户 以 系统 用 
户 的 身份 访问 系统 ， 获 取 机 
密 信息 


简单 并 且 对 实现 透明 ， 也 文 
持 恢 复 


图 13-7 初步 风险 评估 报告 中 的 威胁 和 控制 分 析 





风险 : 来 自 拒 绝 服 务 攻击 的 破坏 。 维 护 本 地 副本 意味 看 仍然 可 以 访问 。 

2. 系统 客户 端 中 的 所 有 病人 信息 应 该 被 加 密 。 

风险 : 病人 记录 的 外 部 访问 。 如 果 数 据 被 加 密 ， 那 么 攻击 者 必须 有 加 密 密 钥 来 发 现 病人 
信息 。 

3. 当 诊 疗 阶段 结束 时 ， 应 该 把 所 有 的 病人 信息 都 上 传 到 数据 库 并 删除 系统 客户 端的 备份 。 

风险 : 通过 盗 取 笔记 本 电脑 来 从 外 部 访问 病人 记录 。 

4. 对 系统 数据 库 的 所 有 修改 以 及 这 些 修 改 的 创建 者 信息 应 该 生成 日 志 并 保留 在 不 同 于 数 
据 库 服 务 右 的 为 一 侣 计算机 上 。 

风险 : 内 部 或 外 部 攻击 破坏 当前 数据 。 日 志 应 该 允许 从 备份 中 重新 创建 最 新 记录 。 

前 两 条 需求 是 相关 的 一 一 病人 的 信息 被 下 载 到 本 地 机 需 ， 这 样 即使 病人 数据 库 服 务 器 受 
到 攻击 或 者 变 得 不 可 用 ， 会 诊 也 可 以 继续 。 人 然而， 必须 删除 这 些 信息 ， 这 样 才 能 避免 后 面 的 
客户 问 电 脑 使 用 者 访问 这 些 数据 。 第 四 个 需求 是 一 个 恢复 和 审计 需求 。 它 意味 着 所 做 出 的 修 
改 可 以 通过 回放 修改 日 志 进行 恢复 并 且 可 以 发 现 是 谁 进行 的 修改 。 这 个 机 制 可 以 阻止 授权 员 
工 对 系统 的 误 用 。 


13.3.1 滥用 案例 


从 风险 分 析 得 到 信息 安全 需求 是 工程 师 和 领域 专家 的 创造 性 过 程 。 已 经 为 UML 用 户 开 
发 了 一 种 方法 来 文 持 这 个 推导 过 程 ， 这 种 方法 采用 的 是 滥用 案例 的 想法 (Sindre and Opdahl 
2005 )。 滥 用 案例 是 表示 与 系统 进行 恶意 交互 的 场景 。 我们 可 以 使 用 这 些 脚 本 来 讨论 和 明确 
可 能 的 威胁 ， 从 而 确定 系统 的 信息 安全 需求 。 当 要 分 析 系 统 需求 (第 4 和 5 章 ) 时 ， 这些 肢 
本 可 以 和 用 况 结合 在 一 起 使 用 。 

滥用 案例 与 用 况 实例 相关 ， 并 代表 与 这 些 用 况 相关 的 威胁 和 攻击 。 它 们 可 以 包含 在 用 况 
图 中 ， 但 应 该 有 个 更 完整 和 详细 的 文本 描述 。 图 13-8 中 是 使 用 Mentcare 系统 的 医疗 接待 员 
的 用 况 图 ， 并 增加 了 滥用 案例 。 滥 用 案例 通常 用 黑色 椭圆 表示 。 

与 用 况 一 样 ， 滥 用 案例 可 以 用 几 种 方法 来 描述 。 我 认为 将 它们 描述 为 原始 用 沈 描 述 的 补充 
是 非常 有 帮助 的 。 而 且 ， 滥 用 案例 最 好 有 灵活 的 格式 ， 因 为 不 同类 型 的 攻击 必须 以 不 同 的 方式 
来 描述 。 图 13-9 显示 了 传输 数据 用 况 (图 5-4 ) 的 原始 描述 ， 并 添加 了 滥用 案例 描述 。 

混用 案例 的 问题 反映 了 用 况 的 通用 问题 ， 即 最 终 用 户 和 系统 之 间 的 交互 不 能 捕获 所 有 的 
系统 需求 。 
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注册 病人 


医疗 接待 员 攻击 者 
拦截 传输 


图 13-8 ”混用 案例 


Mentcare 系统 : 传输 数据 
医疗 接待 员 、 病 人 记录 系统 (PRS) 
医疗 接待 员 可 以 从 Mentcare 系统 向 健康 管理 机 构 维 护 的 通用 的 病人 记录 数据 库 
传输 数据 。 所 传输 的 信息 可 以 是 更 新 的 个 人 信息 (地 址 、 电 话 号 码 等 ) 或 者 病人 的 
诊断 和 治疗 情况 总 结 


Mentcare 系统 : ERER EMRA) 
医疗 接待 员 、 病 人 记录 系统 (PRS)、 攻 击 者 
医疗 接待 员 把 数据 从 他 的 电脑 传输 到 服务 器 上 的 Mentcare 系统 。 攻 击 者 截获 数 
据 传输 并 获取 该 数据 的 副本 
数据 (资产 ) 病人 的 个 人 信息 、 治 疗 总 结 
将 网 络 监控 器 添加 到 系统 中 ， 从 医疗 接待 员 到 服务 器 的 数据 包 被 截获 。 在 医疗 接 
待 员 和 数据 库 服务 器 之 间 设 置 一 个 假 服 务 器 ， 以 便 医 疗 接待 员 相信 他 们 是 与 真 的 系 
统 交 互 
所 有 网 络 设备 必须 锁 在 房间 里 。 工程 师 访 问 设 备 必须 经 过 认证 。 所 有 客户 端 与 服 
务 器 之 间 的 数据 传输 必须 加 密 。 必 须 使 用 基于 证 书 的 客户 - 服务 器 通信 
Smee 所 有 客户 端 与 服务 器 之 间 的 通信 必须 使 用 安全 套 接 字 层 (SSL)。HTTPS 协议 使 
用 基于 证 书 的 认证 和 加 密 


itd 





图 13-9” 误 用 案例 描述 


滥用 案例 可 以 作为 信息 安全 需求 工程 过 程 的 一 部 分 ， 但 你 还 需要 考虑 与 系统 利益 相关 者 
相关 的 风险 ， 虽 然 他 们 不 与 系统 直接 交互 。 


13.4 信息 安全 系统 设计 


在 系统 部 署 后 ， 再 想 将 信息 安全 性 措施 加 入 系统 是 非常 困难 的 。 因 此 ， 需 要 在 系统 设计 
过 程 中 就 将 信息 安全 问题 考虑 在 内 ， 并 为 增强 系统 的 信息 安全 性 而 做 出 设计 决策 。 本 节 侧 重 
于 讨论 如 下 两 个 独立 于 应 用 的 安全 系统 设计 问题 : 
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2. 好 的 实践 一 一 在 设计 信息 安全 系统 时 什么 是 公认 的 好 的 实践 ? 

当然 ， 这 些 还 不 是 仅 有 的 对 信息 安全 重要 的 设计 问题 。 每 一 个 应 用 都 是 不 同 的 ， 信 息 安 
全 设计 也 必须 考虑 到 应 用 的 用 途 、 临 界 状态 和 操作 环境 。 例 如 ， 如 有 果 开 发 一 个 车 事 系统 ， 我 
们 需要 采用 他 们 的 信息 安全 分 类 模型 (秘密 、 机 密 、 绝 密 等 )。 如 果 要 设计 一 个 存储 个 人 信 
息 的 系统 ,我 们 要 考虑 到 数据 保护 法 案 ， 该 法 案 针 对 信息 如 何 管理 规定 了 约束 。 

元 余 性 和 多 样 性 的 使 用 ， 对 于 实现 可 靠 性 是 很 重要 的 ， 意味 着 系统 能 够 抵抗 那些 针对 特 
定 设计 和 实现 特性 的 攻击 并 从 中 恢复 。 支 持 高 级 别 可 用 性 的 机 制 可 以 帮助 系统 从 所 谓 的 拒绝 
服务 攻击 中 恢复 过 来 ， 这 些 攻 击 中 攻击 者 的 目标 是 使 系统 陷 人 次 痪 并 让 它 停止 正 滑 工 作 。 

设计 一 个 系统 要 保证 其 安全 ,不 可 避免 地 要 有 所 取舍 。 为 系统 设计 融入 多 种 信息 安全 方 
案 是 完全 有 可 能 的 ， 这 样 会 降低 攻击 成 功 的 可 能 性 。 然 而 ,信息 安全 方案 通常 需要 大 量 的 额 
外 计算 并 且 影 响 系统 的 整体 性 能 。 例 如 ,我们 可 以 通过 加 密 机 密 信 息 来 降低 其 被 轻易 破解 的 
可 能 性 ,但 是 ， 这 就 意味 着 信息 的 用 户 也 必须 等 竺 信息 解码 ， 这 可 能 会 使 得 他 们 的 工作 变 慢 。 

信息 安全 和 系统 可 用 性 之 间 也 有 制约 关系 。 信 息 安全 方案 有 时 要 求 用 户 记 住 并 提供 附加 
信息 (例如 ， 大 量 的 密码 )。 但 是 ， 有 时 用 户 会 坪 记 这 些 信息 ， 所 以 附加 的 信息 安全 意味 看 
他 们 不 能 方便 地 使 用 系统 。 

因此 设计 者 必须 在 信息 安全 、 系 统 性 能 和 可 用 性 之 间 找 到 一 个 平衡 点 。 这 将 取决 于 系统 
的 类 型 和 它 会 被 用 在 什么 地 方 。 例 如 ， 在 一 个 军事 系统 中 ,用 户 会 对 高 级 别 信息 安全 系统 很 
熟悉， 因此 愿意 接受 并 执行 频繁 的 检查 流程 。 但 是 ， 在 一 个 股票 交易 系统 中 ， 因 为 信息 安全 
检查 而 中 断 操 作 将 会 是 完全 不 可 接受 的 。 







Q) 拒绝 服务 攻击 


拒绝 服务 攻击 试图 通过 大 量 的 服务 请 求 去 总 击 〈bombarding) 一 个 网 络 系统 ， 以 此 来 
造成 这 个 网 络 系统 的 竣 痰 。 这 样 的 系统 负载 因为 没有 在 设计 之 初 考虑 ， 所 以 它们 会 将 合法 
的 系统 请 求 排除 在 外 。 因 此 ， 系 统 会 因为 过 重 的 负载 而 崩 演 ， 或 者 系统 管理 员 将 其 脱 机 以 
停止 大 量 请 求 的 涌 入 ， 这 样 都 会 导致 系统 变 得 不 可 用 。 


http://software-engineering-book.com/web/denial-of-service 





13.4.1 设计 风险 评估 


需求 工程 中 的 信息 安全 风险 评估 能 够 识别 系统 的 一 系列 高 级 信息 安全 需求 。 然 而 ， 随 
着 系统 的 设计 和 实现 ， 在 系统 设计 过 程 中 做 出 的 体系 结构 和 技术 决策 会 影响 系统 的 信息 安全 
性 。 这 些 决 策 产生 新 的 设计 需求 ， 并 且 可 能 意味 着 现 有 需求 必须 改变 。 

系统 设计 和 设计 相关 风险 的 评 佑 是 交错 的 过 程 (图 13-10 )。 做 出 初步 设计 决策 ， 并 评 
佑 与 这 些 决 策 相 关 的 风险 。 这 种 评 佑 可 能 导致 新 的 需求 ， 以 减轻 已 识别 的 风险 或 设计 更 改 产 
生 的 风险 。 随 着 系统 设计 的 演进 和 更 加 详细 的 开发 ， 风 险 被 重新 评估 ， 并 把 结果 反馈 给 系统 
设计 者 。 设 计 风 险 评 佑 过 程 在 设计 完成 并 且 剩 余 风险 可 以 接受 时 结束 。 

在 评 佑 设计 和 实施 过 程 中 的 风险 时 ， 我 们 能 得 到 更 多 需要 保护 的 信息 ， 还 将 了 解 系统 中 
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的 源 洞 。 这 些 漏 洞 中 的 一 部 分 是 所 做 的 设计 选择 中 国有 的 。 例 如 ， 基 于 密码 的 认证 的 一 个 固 
有 漏洞 是 授权 用 户 癌 未 经 授权 的 用 户 透 露 其 密码 。 因 此 ， 如 果 使 用 基于 密码 的 认证 ， 则 风险 
评估 过 程 可 以 提出 新 的 需求 以 减轻 风险 。 例 如 ， 可 能 需要 多 因素 认证 ， 其 中 除了 密码 外 ， 用 
户 必 须 使 用 一 些 个 人 信息 来 认证 自己 。 











系统 需求 | 


系统 设计 j 






图 13-10 ”交错 的 设计 和 风险 评估 


图 13-11 是 设计 风险 评估 过 程 的 模型 。 初 步 风 险 分 析 和 设计 风险 评估 之 间 的 主要 区 别 在 
于 ， 在 设计 阶段 ， 我 们 拥有 关于 信息 表示 和 分 发 的 信息 以 及 需要 保护 的 高 级 资产 的 数据 库 
组 织 。 我 们 还 了 解 重要 的 设计 决策 ， 如 要 复 用 的 软件 、 基 础 设施 控制 和 保护 等 。 根 据 这 些 
信息 ， 我 们 的 评估 可 以 识别 对 安全 需求 和 系统 设计 的 更 改 ， 为 重要 的 系统 资产 提供 额外 的 


保护 。 
= 


结构 选择 | 
é 控制 识别 设计 和 
结构 选择 需求 变更 
可 用 性 控制 


图 13-11 设计 风险 评估 


来 日 Mentcare 系统 的 两 个 例子 说 明了 保护 需求 如 何 受 到 关于 信息 表示 和 分 发 的 决策 的 
影响 : 

1. 我 们 可 能 会 做 出 一 个 设计 决策 来 将 患者 个 人 信息 和 其 接受 治疗 的 信息 分 开 ， 通 过 一 个 
HEA (key) 链接 这 些 记录 。 治 疗 信息 远 不 如 患者 个 人 信息 敏感 ， 所 以 不 需要 大 量 保护 。 如 
采 键 值 被 保护 ， 那 么 攻击 者 就 只 能 获得 常规 信息 ， 而 不 能 链接 到 患者 个 人 信息 。 

2. 假设 从 本 市 开始 ,设计 决策 是 将 患者 记录 拷贝 到 本 地 客户 端 系统 。 在 服务 器 出 现 故 障 
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时 也 将 允许 工作 继续 进行 。 这 让 卫生 保健 的 工作 者 即使 在 没有 网 络 连 接 的 情况 下 也 能 够 从 笔 
记 本 电脑 中 获取 患者 记录 。 但 是 ,我们 现在 有 了 两 套 要 保护 的 记录 和 客户 端 副本 ， 它 们 容易 
面临 额外 的 风险 ， 比 如 ， 盗 取 笔 记 本 电脑 。 因 此 ， 我 们 必须 思考 应 该 用 什么 样 的 控制 来 降低 
风险 。 我 们 可 能 需要 对 保存 在 笔记 本 电脑 或 其 他 个 人 计算 机 上 的 客户 端 记 录 进 行 加 密 。 

为 了 说 明 开 发 技术 上 的 决定 如 何 影响 信息 安全 性 ,我 们 假设 医疗 部 门 已 经 决定 了 用 商业 
现成 信息 系统 建立 Mentcare 系统 (他 们 自己 的 心理 健康 治疗 病人 信息 系统 ) 来 保存 病人 的 记 
录 。 此 系统 需要 为 使 用 它 的 每 一 类 诊所 做 不 同 的 配置 。 此 决定 已 经 做 出 ， 因 为 它 会 给 绝 大 多 
数 普遍 使 用 的 功能 带 来 最 低 的 开发 成 本 和 最 快 的 开发 时 间 。 

当 基 于 某 个 现存 系统 建立 应 用 时 ， 就 必须 接受 系统 原 开 发 者 的 设计 决策 。 我 们 假设 一 些 
设计 决策 如 下 : 

1. 系统 用 户 是 通过 登录 用 户 名 /口令 组 合 认 证 的 。 不 支持 其 他 认证 方法 。 

2. 系统 的 体系 结构 是 客户 - 服务器， 客户 通过 客户 端 计 算 机 上 的 标准 Web 浏览 需 访 问 
数据 。 

3. 信息 以 可 编辑 Web 表单 形式 展现 在 用 户 面 前 。 用 户 可 以 适当 地 改变 信息 并 上 传 给 服 
F fit o 

对 于 通用 系统 ， 这 些 设 计 决 策 是 完全 可 以 接受 的 ， 但 是 设计 风险 评估 表明 它们 都 有 相关 
的 漏洞 。 一 些 可 能 的 漏洞 例子 如 图 13-12 所 示 。 


技术 选择 arif] 


授权 用 户 把 密码 暴 f 





露 给 未 经 授权 用 户 | 








服务 器 遭受 拒 上 
绝 服务 攻击 | 


浏览 器 信息 安全 漏洞 | 
导致 未 经 授权 的 访问 | 





授权 不 能 随 用 户 
的 角色 而 变化 





图 13-12 ”和 技术 选择 相关 的 漏洞 


漏洞 一 旦 被 发 现 ， 我 们 就 必须 决定 采取 哪些 措施 来 降低 相应 的 风险 。 这 一 般 包 括 是 否 添 
ER RONE KE tat 
需求 ， 下 面 列 出 其 中 一 些 需求 : 

1. 口令 检查 程序 应 该 是 可 用 的 且 应 该 每 天 运行 。 登记 在 系统 字典 中 的 用 户口 令 会 被 识别 
并 将 弱 口 令 的 用 户 报告 给 系统 管理 员 。 
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2. 对 系统 的 访问 只 能 是 在 系统 管理 员 所 认可 和 注册 的 客户 计算 机 上 进行 。 

3. 所 有 的 客户 计算 机 都 只 能 安装 一 个 由 系统 管理 员 所 认可 的 Web Wi it A o 

在 使 用 商业 现成 系统 时 ， 系 统 自身 不 可 能 包含 口令 检查 程序 ， 所 以 必须 使 用 一 个 独立 
的 系统 。 口令 检查 程序 在 用 户口 令 被 设 定 时 分 析 其 强度 ， 如 果 用 户 选 择 了 一 个 强度 很 弱 的 
口令 ， 那 么 它 会 通知 用 户 。 因 此 ， 易 受 攻击 的 口令 能 被 很 快 发 现 并 采取 措施 让 用 户 更 改 其 
口令 。 

第 二 个 和 第 三 个 需求 意味 着 用 户 将 总 是 从 同一 个 浏览 右上 访问 系统 。 我 们 可 以 在 系统 部 
署 的 时 候 决 定 哪 个 浏览 吉 是 最 安全 的 ， 并 且 将 它 安装 到 所 有 客户 端 计 算 机 上 。 信 息 安 全 更 新 
得 到 简化 ， 因 为 没有 必要 在 发 现 和 修补 信息 安全 漏洞 的 时 候 更 新 不 同 的 浏览 硕 。 

图 13-10 中 所 示 的 过 程 模型 假定 了 一 个 设计 过 程 ， 其 中 设计 在 开始 实施 之 前 已 达到 相当 
详细 的 级 别 。 这 不 是 敏捷 过 程 的 例子 ， 敌 捷 过 程 的 设计 和 实现 是 并 行 的 ， 并 且 在 代码 重 构 时 
不 断 改进 设计 。 频 繁 交 付 系统 增 量 在 时 间 上 并 不 允许 进行 详细 的 风险 评估 ， 即 使 有 关 资 产 和 
技术 选择 的 信息 是 触手 可 及 的 。 

围绕 安全 和 敏捷 开发 的 问题 已 经 被 广泛 讨论 (Lane 2010;Schoenfield 2013 )。 到 目前 为 
止 ， 这 个 问题 还 没有 真正 得 到 解决 一 一 有 些 人 认为 信息 安全 和 敏捷 开发 之 间 存 在 根本 性 冲 
突 ， 而 其 他 人 认为 这 种 冲突 可 以 使 用 以 安全 为 重点 的 故事 来 解决 ( Safecode 2012 )。 这 对 于 
敏捷 方法 的 开发 者 来 说 仍然 是 一 个 突出 的 问题 。 同 时 ， 许 多 拥有 安全 意识 的 公司 拒绝 使 用 敏 
捷 方法 ， 因 为 这 些 方法 与 信息 安全 和 风险 分 析 策 略 相 冲突 。 


13.4.2 体系 结构 设计 


软件 体系 结构 的 选择 对 系统 特性 有 深刻 的 影响 。 如 果 使 用 不 恰当 的 体系 结构 ， 维 护 系 统 
信息 的 信息 安全 性 和 完整 性 或 是 保证 系统 有 一 定 的 实用 性 就 是 不 出行 的 了 。 

在 设计 能 维护 信息 安全 性 的 系统 体系 结构 时 ,需要 考虑 两 个 基本 问题 : 

1. 保护 一 一 如 何 组 织 系统 使 其 关键 资产 能 在 外 部 攻击 时 得 到 保护 ? 

2. 分 布 一 一 如 何 对 系统 资产 进行 分 布 使 得 逮 的 攻击 数 减 到 最 少 ? 

这 些 问 题 总 是 存在 冲突 的 。 如 果 将 所 有 的 资产 放 在 一 个 地 方 ， 那 么 就 可 以 在 其 上 建立 多 
层 保护 。 因 为 只 要 建立 一 个 保护 系统 ， 就 能 够 为 一 个 强大 的 系统 提供 多 层 保 护 。 然 而 ， 如 采 
保护 失败 ， 那 么 所 有 的 资产 就 要 受到 损害 了 。 增 加 若干 个 保护 层 也 会 影响 系统 的 可 用 性 ， 所 
以 这 就 意味 着 要 达到 系统 可 用 性 和 性 能 的 要 求 更 加 困难 。 

另 一 方面 ， 如 果 将 资产 分 开 存 放 ， 保 护 的 成 本 会 更 高 ， 因 为 保护 系统 在 每 个 备份 中 都 要 
实现 。 我 们 往往 没有 办 法 负担 起 这 么 多 保护 层 的 开支 。 保 护 伞 被 突破 的 概率 也 会 大 很 多 。 但 
是 ， 如 果真 的 发 生 攻 击 ， 却 不 至 于 损失 至 尽 。 将 信息 资产 备份 和 分 开 是 有 可 能 的 ， 如 果 一 个 
备份 被 毁坏 或 是 不 可 存 取 ， 那 么 其 他 的 备份 还 可 以 使 用 。 但 是 ， 如 果 信 息 是 保密 的 ， 保 留 额 
外 的 副本 会 增加 入 侵 者 获得 这 个 信息 的 风险 。 

对 于 病人 记录 系统 而 言 ， 我 们 使 用 具有 共享 中 央 数 据 库 的 客户 -服务 天 体系 纺 构 。 为 了 
对 系统 提供 保护 ， 系 统 使 用 分 层 的 体系 结构 ， 使 关键 性 的 受 保护 资产 位 于 系统 的 最 底层 ， 并 
在 其 上 设置 各 种 不 同 的 保护 。 图 13-13 是 有 关 多 层 系统 体系 结构 的 说 明 ， 被 保护 的 关键 性 资 
产 是 每 个 病人 的 记录 ， 

为 了 访问 和 修改 病人 的 记录 ， 攻 击 者 需要 穿越 3 个 系统 层 : 

1. 平台 层 保 护 。 最 顶层 控制 对 病人 记录 系统 所 在 的 平台 的 访问 、 这 通常 涉及 用 户 到 某 个 
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特别 计算 机 的 注册 。 平 台 也 一 般 包 括 对 系统 上 文件 完整 性 维护 的 支持 、 备 份 等 。 

2. 应 用 层 保护 。 下 一 个 保护 层 是 建立 在 应 用 本 身上 的 。 它 包括 用 户 对 应 用 的 访问 、 用 
户 身 份 认证 以 及 对 执行 像 浏览 或 修改 数据 等 动作 的 许可 。 应 用 专门 的 完整 性 管理 支持 是 可 利 
用 的 。 

3. 记录 层 保护 。 当 需要 访问 特殊 记录 且 在 此 记录 上 执行 所 请 求 的 操作 时 ， 对 用 户 的 授权 
检查 调用 这 一 层 。 此 层 的 保护 也 可 能 包括 加 密 来 确保 记录 不 会 被 文件 浏览 锅 所 浏览 。 完 整 性 
检查 ， 例 如 使 用 密码 校 验 和 ， 能 检测 出 在 正常 记录 更 新 机 制 之 外 产生 的 改变 。 


平台 层 保护 


mE 文件 
| seau rf 系统 授权 | 完整 性 管理 





应 用 层 保护 
amaz | | | 数据 库 恢复 上 
记录 层 保护 


记录 poy es = 
a, 四 = 






图 13-13 分 层 保护 体系 结构 


对 任何 应 用 来 说 ,保护 层 的 数量 依赖 于 数据 的 危险 程度 。 不 是 所 有 的 应 用 都 需要 记录 
层 保护 ， 因 此 ， 通常 使 用 更 大 粒度 的 访问 控制 。 为 达到 信息 安全 性 ， 我 们 不 能 在 每 一 层 上 使 
用 相同 的 用 户 许可 。 理 论 上 ， 如 果 蚌 一 个 基于 口令 的 系统 ， 那 么 应 用 口令 应 该 不 同 于 系统 口 
令 ， 也 不 同 于 记录 层 口 令 。 但 是 ， 大 量 的 口令 对 于 用 户 记 忆 来 说 是 困难 的 ， 并 且 他 们 会 被 重 
复 的 认证 请 求 所 激怒 。 因 此 ， 我 们 经 常 不 得 不 考虑 系统 可 用 性 而 在 信息 安全 方面 有 所 取舍 。 

如 果 对 数据 的 保护 是 一 个 关键 性 需求 ， 那 么 集中 的 客户 - 服务 器 体系 结构 通常 是 最 有 效 
的 信息 安全 体系 结构 。 服 务 器 负责 保护 敏感 数据 。 然 而 ， 如 果 保 护 失 败 ， 则 攻击 所 带 来 的 损 
失 可 能 很 高 ， 所 有 的 数据 都 有 可 能 丢失 或 受 损 ， 恢 复 的 成 本 也 将 很 高 〈 例 如， 所 有 用 户 的 许 
可 都 需要 重新 颁发 )。 集 中 的 系统 在 拒绝 服务 攻击 方面 是 脆弱 的 ， 拒 绝 服务 攻击 加 重 了 服务 
器 的 负载 ， 使 之 不 能 让 任何 用 户 访问 到 系统 数据 库 。 

如 果 服 务 器 漏洞 的 后 果 很 严重 ,我 们 可 以 决定 让 应 用 采用 分 布 式 体系 结构 。 在 此 情形 
下 ， 系 统 资产 被 分 布 到 多 个 不 同 的 平台 上 ， 每 个 平台 有 自己 的 保护 机 制 。 对 某 个 节点 的 攻击 
可 能 造成 某 些 资产 不 可 用 ， 但 是 还 会 有 别 的 系统 服务 仍然 保持 可 用 。 数 据 可 以 在 系统 的 不 同 
节点 中 复制 ， 这 样 从 攻击 中 恢复 就 简单 了 。 

图 13-14 给 出 的 是 在 纽约 、 伦 敦 、 法 兰 克 福 以 及 香港 市 场 上 使 用 的 银行 股票 和 基金 交易 
系统 的 体系 结构 。 它 是 一 个 分 布 式 结构 ， 每 个 市 场 的 数据 都 是 单独 维护 的 。 用 于 文 持 要 求 极 
高 的 股票 交易 〈 用 户 账 户 和 价格 ) 的 关键 活动 所 需 的 资产 已 经 复制 到 各 个 节点 上 。 如 果 系 统 
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的 某 个 节点 受到 攻击 变 得 不 可 用 ， 股 票 交 易 的 关键 活动 能 够 转移 到 为 一 个 国家 或 地 区 ,这样 
对 用 户 来 说 就 仍然 是 可 用 的 。 
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认证 和 授权 .认证 和 授权 
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图 13-14 股权 交易 系统 中 的 分 布 式 资产 


前 面 已 经 讨论 过 在 信息 安全 和 系统 性 能 之 间 寻 找平 衡 点 的 问题 。 很 多 时 候 ， 信 息 安全 系 
统 设计 的 一 个 问题 是 ， 能 提供 安全 保障 的 最 合适 的 体系 结构 可 能 不 能 达到 最 好 的 性 能 要 求 。 
例如 ， 假 设 一 个 应 用 的 根本 需求 是 维护 某 个 大 型 数据 库 的 机 密 性 ， 对 它 的 另 一 个 需求 是 能 快 
速 访问 数据 。 高 级 别 保护 建议 提供 多 个 保护 层 ， 这 就 意味 着 系统 的 层次 之 间 必 须要 通信 。 这 
就 不 可 避免 地 产生 性 能 开销 ， 从 而 降低 数据 访问 的 速度 。 

如 果 采 用 另外 的 体系 结构 类 型 ， 那 么 实现 保护 和 保证 机 密 性 会 更 加 困难 且 需 要 更 高 的 代 
价 。 在 此 情况 下 ， 你 必须 与 购买 系统 的 客户 讨论 内 在 的 冲突 ， 在 如 何 解决 问题 的 方案 上 达成 
一 致意 见 。 


13.4.3 设计 准则 


并 不 存在 一 个 如 何 达 到 系统 信息 安全 性 的 硬性 规定 。 不 同类 型 的 系统 需要 不 同 的 技术 
措施 来 达到 系统 拥有 者 所 能 接受 的 安全 等 级 。 不 同 用 户 组 的 态度 和 需求 对 什么 是 可 以 接受 的 
以 及 什么 是 不 能 接受 的 有 深 深 的 影响 。 例 如 ， 对 于 银行 来 说 ， 用 户 可 能 接受 较 高 等 级 的 安全 
性 ， 因 此 比 高 校 系统 有 更 多 的 安全 性 程序 。 

然而 ， 还 是 有 一 些 一 般 性 准则 ， 它 们 广泛 适用 于 系统 信息 安全 性 的 方案 设计 ， 概 括 了 信 
息 安全 系统 的 一 些 好 的 设计 实践 。 信 息 安全 性 的 一 般 性 设计 准则 有 两 个 主要 的 用 途 : 

1. 它们 能 够 提高 软件 工程 团队 对 信息 安全 问题 的 重视 。 软 件 工程 师 通 常 只 关注 近期 目 
标 ， 如 怎样 让 软件 能 用 和 能 尽快 交付 给 客户 。 信 息 安全 问题 很 容易 被 忽视 。 这 些 准 则 能 使 信 
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息 安 全 问题 在 软件 设计 决策 制定 之 时 就 得 到 考虑 。 
2. 它们 能 够 用 在 系统 有 效 性 验证 过 


、 AUS = .TE SV ak, AES | i 
则 ， 可 以 导出 更 多 探讨 如 何 将 信息 安全 设 | ny 
计 到 系统 中 的 详细 问题 。 3 可 恢复 性 失效 


安全 准则 有 时 是 非常 一 般 的 原则 ， 4. 寻求 信息 安全 和 可 用 性 间 的 均衡 
例如 “保护 系统 中 最 脆弱 的 链接 ”“ 保 5. 记录 用 户 行为 
持 简单 ”和 “避免 模糊 ”。 这 些 一 般 准 6. 通过 元 余 性 和 多 样 性 降低 风险 
则 太 模糊 ， 无 法 在 设计 过 程 中 实际 使 | “om 人 
用 。 因 此 ， 这 里 给 出 更 具体 的 设计 准则 。 9 部 署 设 计 
图 13-15 中 总 结 的 10 个 设计 准则 来 自 不 同 10. 可 恢复 性 设计 
的 来 源 (Schneier 2000; Viega and McGraw 
2001; Wheeler 2004 ) 。 

准则 1: 将 信息 安全 决策 建立 在 明确 的 信息 安全 策略 之 上 

信息 安全 策略 是 一 个 高 层 陈 述 ， 它 给 出 了 机 构 的 基本 信息 安全 条 件 。 它 要 定义 信息 安全 
“是 什么 ”而 不 是 “如 何 达 到 ”。 此 策略 不 应 该 规定 提供 和 执行 信息 安全 的 机 制 。 一 般 来 讲 ， 
信息 安全 策略 的 各 个 方面 都 应 该 反映 在 系统 需求 当中 。 在 实践 中 ， 尤 其 是 使 用 敏捷 开发 的 时 
候 ， 做 到 这 一 点 是 不 太 现 实 的 。 

设计 者 在 制定 和 评估 设计 决策 时 应 该 把 信息 安全 策略 作为 框架 。 假 如 你 在 为 本 章 前 面 提 
到 过 的 Mentcare 系统 设计 访问 控制 系统 。 医 院 的 信息 安全 策略 是 只 有 认可 的 临床 工作 人 员 
可 以 修改 病人 的 电子 记录 。 因 此 你 的 系统 必须 包括 检验 每 一 个 试图 修改 信息 的 人 的 合法 性 的 
机 制 以 及 拒绝 无 资格 人 员 非 法 修改 的 机 制 。 

你 可 能 过 到 的 问题 是 很 多 机 构 没 有 明确 的 系统 信息 安全 策略 。 随 着 时 间 的 推移 ， 系 统 可 
能 已 经 为 了 解决 发 现 的 问题 做 了 更 改 , 但 是 并 没有 详细 的 策略 文档 来 指导 系统 进化 。 在 这 样 
的 情况 下 ， 你 需要 从 例子 中 制定 出 策略 并 写成 文档 ， 然 后 让 公司 管理 者 对 它 进行 确认 。 

准则 2: 避免 单 点 失效 

在 任何 要 求 极 高 的 系统 中 ， 努 力 做 到 避免 单 点 失效 是 个 好 的 设计 实践 。 这 意味 着 系统 革 
部 分 的 单个 失效 不 会 造成 系统 的 总 体 失效 。 用 信息 安全 的 术语 ， 这 意味 着 我 们 不 应 该 依赖 单 
一 机 制 来 确保 信息 安全 ， 而 是 应 该 使 用 多 个 不 同 技术 。 有 时 我 们 称 之 为 “深度 防御 ”。 

深度 防御 的 一 个 典型 例子 是 多 重 映 份 认证 。 例 如 使 用 口令 来 鉴别 系统 的 用 户 ， 也 要 包括 
挑战 / 啊 应 验证 机 制 使 得 用 户 必须 预先 在 系统 中 注册 问题 和 答案 。 经 过 口令 鉴别 ， 用 户 必 须 
正确 回答 问题 方 可 进入 系统 。 

准则 3: 可 恢复 性 失效 

在 所 有 系统 中 系统 失效 都 是 不 可 避免 的 ， 如 同 可 恢复 性 失效 之 于 安全 要 求 极 高 的 系统 ， 
信息 安全 要 求 极 高 的 系统 也 必须 总 是 “失效 可 恢复 的 ”。 在 系统 失效 时 可 使 用 的 后 退 方式 不 
能 有 比 系统 本 身 更 差 的 安全 性 。 系 统 失 效 也 不 能 让 攻击 者 访问 到 一 般 情 况 下 不 可 能 访问 到 的 
数据 。 

例如 ， 在 病人 信息 系统 中 ， 作 者 建议 了 一 个 需求 ， 即 病人 的 数据 应 该 在 病人 一 进入 诊 
所 就 下 载 到 系统 客户 端 。 这 样 做 能 加 速 访 问 且 能 在 服务 需 无 法 连接 的 时 候 仍 可 以 访问 到 。 通 
党 ， 当 病人 看 完 病 时 服务 器 就 删除 此 部 分 数据 。 然 而 ， 如 果 服 务 器 失效 ， 就 存在 信息 被 保留 





图 13-15 信息 安全 系统 工程 的 设计 准则 
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在 客户 端的 可 能 。 在 这 些 情况 下 的 可 恢复 性 失效 方法 可 以 是 对 客户 端 病人 数据 进行 加 密 。 这 
就 意味 着 未 经 授权 的 人 不 会 读 到 这 些 数据 。 

准则 4: 寻求 信息 安全 和 可 用 性 间 的 均衡 

言明 安全 要 求 和 可 用 性 要 求 有 时 会 发 生 冲 突 。 为 了 让 系统 安全 ， 必 须 引 入 多 个 检查 ， 包 
括 确保 用 户 获准 使 用 系统 的 检查 以 及 确保 他 们 的 行为 遵守 了 信息 安全 策略 。 所 有 这 些 不 可 避 
免 地 要 对 用 户 施 加 要 求 一 一 他 们 可 能 需要 记 住 登录 名 字 和 口令 ， 只 能 从 某 一 台 计 算 机 上 使 用 
系统 等 。 这 些 意味 着 用 户 在 局 动 系统 和 有 效 的 使 用 上 需要 更 多 的 时 间 。 当 你 添加 这 些 信息 安 
全 特性 到 系统 中 的 时 候 ， 不 可 避免 地 要 降低 系统 的 可 用 性 。 作 者 推荐 过 Cranor 和 Garfinkel 
的 书 ( Cranor and Garfinkel 2005 )， 其 中 对 一 般 领 域 中 的 信息 安全 和 可 用 性 的 广泛 问题 进行 
了 讨论 。 

添加 新 的 信息 安全 特性 到 系统 中 是 要 付出 可 用 性 代价 的 ， 这 里 存在 一 个 平衡 点 ， 越 过 这 
个 平衡 点 再 增加 信息 安全 特性 就 会 达 不 到 预期 的 目标 。 人 例如， 如果 你 要 求 用 户 输入 多 个 口令 
或 者 是 需要 频繁 地 更 换 口 令 ， 势 必 造 成 用 户 无 法 记 住 口令 ， 他 们 可 能 就 自然 地 会 将 口令 抄 在 
本 子 上 。 攻击 者 (尤其 是 内 部 人 员 ) 就 很 容易 发 现 此 口令 并 由 此 访问 系统 。 

准则 5: 记录 用 户 行为 

如 果 可 以 ,我 们 应 该 始终 保存 一 个 用 户 行为 日 志 。 这 个 日 志 至 少 应 该 记录 谁 做 了 什么 、 
使 用 的 资产 ， 以 及 行为 的 时 间 和 日 期 。 如 准则 2 中 所 提 到 的 ,如 果 我 们 把 用 户 行为 保存 为 一 
个 可 执行 命令 表 ， 那么 就 可 以 在 失效 后 重新 执行 记录 来 恢复 系统 。 当 然 ， 我 们 也 需要 工具 来 
分 析 记 录 并 且 检 测 可 能 异常 的 行为 。 这 些 工具 能 够 扫描 记录 并 找 出 异常 行为 ， 因 此 可 以 帮助 
检测 攻击 和 跟踪 攻击 者 是 如 何 获 得 系统 使 用 权 的 。 

除了 帮助 系统 从 失效 中 恢复 以 外 ,用户 行 为 日 志 作 为 一 个 威慑 ， 对 内 部 攻击 行为 也 起 到 
了 很 大 作用 。 如 果 人 们 知道 他 们 的 行为 会 被 记录 ， 那么 他 们 就 不 太 可 能 做 一 些 未 经 授权 的 事 
情 。 这 对 于 偶然 性 攻击 是 很 有 效 的 (如 一 名 护士 查找 病人 记录 )， 对 于 检查 通过 社会 工程 次 
取 合法 用 户 证 书 的 攻击 也 很 有 效 。 当 然 ， 这 并 不 十 分 简单 ， 技 术 上 相当 熟练 的 内 部 人 员 也 能 
够 获得 并 修改 记录 。 

准则 6: 通过 元 余 性 和 多 样 性 降低 风险 

抑 余 性 是 指 需要 在 系统 中 维护 多 个 版 本 的 软件 和 数据 。 对 于 软件 来 说 ， 多 样 性 意味 春 不 
同 版 本 不 应 该 基于 相同 的 平台 或 者 是 使 用 相同 的 技术 。 因 此 ,平台 或 技术 漏洞 将 不 会 影响 所 
有 版 本 ， 也 就 无 法 带 来 同样 的 失效 。 

我 们 已 经 讨论 过 元 余 性 的 两 个 例子 一 一 第 一 个 是 Mentcare 系统 中 在 服务 顺和 客户 端 维 
护 病 人 信息 ， 第 二 个 是 如 图 13-14 所 示 的 分 布 式 股票 交易 系统 。 在 病人 记录 系统 中 ， 可 以 在 
客户 端 和 服务 器 使 用 不 同 操作 系统 (例如 服务 器 使 用 Linux， 客 户 端 使 用 Windows)， 这 样 确 
保 基 于 操作 系统 漏洞 的 攻击 无 法 同时 影响 服务 顺和 客户 端 。 当 然 ， 我 们 必须 接受 在 一 个 机 构 
中 维护 不 同 操作 系统 所 增加 的 管理 开支 作为 获得 这 些 好 处 的 代价 。 

准则 7: 验证 所 有 输入 

对 系统 的 常见 攻击 总 是 通过 一 些 未 预料 到 的 输入 让 系统 以 一 种 无 法 预知 的 工作 方式 工 
作 。 这 些 会 直接 造成 系统 月 演 ， 导 致 无 法 服务 或 者 是 输入 会 混合 进 恶 意 代码 。 绥 冲 区 溢出 漏 
洞 最 早出 现在 互联 网 蠕虫 ( Spafford 1989) 中 且 篆 党 被 攻击 者 采用 ， 它 就 是 使 用 长 输入 串 触 
发 的 。 所 谓 的 “SQL 中 毒 "”， 即 恶意 用 户 输入 一 个 SQL 片段 让 服务 器 解释 ， 是 另 一 个 相当 
普遍 的 攻击 。 
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如 果 我 们 定义 系统 输入 的 格式 和 结构 ， 可 以 避免 许多 这 样 的 问题 。 这 种 定义 应 该 基于 你 
关于 系统 输入 的 知识 。 例 如 ， 如 果 要 输入 姓 ， 就 应 该 保证 是 字母 ， 没 有 数字 或 标点 符号 (HE 
一 可 用 的 标点 符号 是 连 字 号 )。 同 时 还 要 拒绝 明显 过 长 的 输入 。 例 如 ， 没 有 谁 的 姓 超过 40 个 
字符 ， 也 没有 一 个 住址 会 多 于 100 个 字符 。 如 果 输 入 是 数字 ， 就 不 应 该 有 字母 。 系 统 实现 
时 ， 输 入 检查 中 应 该 有 这 些 信息 。 

准则 8: 划分 资产 

分 割 意 味 着 不 用 提供 对 系统 中 所 有 信息 的 访问 权限 。 基 于 一 般 的 “需要 了 解 ” 的 信息 安 
全 原则 ， 你 应 当 将 系统 中 的 信息 合理 地 划分 到 一 些 仓位 ， 从 而 使 得 用 户 只 能 访问 到 他 工作 所 
需要 的 信息 而 不 是 全 部 系统 信息 。 这 意味 着 攻击 的 影响 被 局 部 化 。 有 些 信 息 会 丢失 或 者 被 损 
坏 ， 但 是 不 太 可 能 造成 对 系统 中 所 有 信息 的 全 面 影响 。 

例如 ， 在 病人 信息 系统 中 ， 所 做 的 设计 应 该 是 这 样 的 : 在 任何 一 个 诊所 中 ， 诊 所 工作 人 
员 一 般 只 能 访问 到 预约 此 诊所 的 病人 的 记录 。 他 们 一 般 不 应 该 看 到 系统 中 所 有 病人 的 信息 ， 
这 不 仅 有 利于 限制 由 于 可 能 的 内 部 攻击 造成 损失 ， 也 意味 着 即使 入 侵 者 急 取 了 他 们 的 证 书 ， 
也 不 能 破坏 所 有 的 病人 记录 。 

说 到 此 ， 我 们 还 应 该 让 系统 有 这 样 一 种 允许 未 预料 访问 的 机 制 ， 即 假设 有 病情 十 分 严重 
的 病人 需要 紧急 处 理 而 无 须 事先 预约 。 在 此 情况 下 ， 我们 应 该 使 用 男 外 的 安全 机 制 来 阻止 系 
统 中 的 信息 分 割 。 在 这 样 的 情况 下 ， 信 息 安 全 会 被 放宽 来 维持 系统 的 可 用 性 ， 使 用 日 志 机 制 
来 记录 系统 使 用 是 必要 的 ， 然 后 我 们 能 检查 日 志 来 跟踪 任何 未 经 授权 的 使 用 。 

准则 9: 部 署 设计 

很 多 信息 安全 问题 的 发 生 是 因为 将 系统 部 署 在 运行 环境 中 时 没有 进行 正确 的 配置 。 部 署 
意味 着 在 要 执行 软件 的 计算 机 上 安装 软件 ， 并 设置 软件 参数 以 反映 系统 用 户 的 执行 环境 和 首 
选项 。 忘 记 关 闭 调试 设备 或 忘记 更 改 默 认 管 理 密码 等 错误 可 能 会 在 系统 中 引入 漏洞 . 

好 的 管理 实践 会 避免 由 于 配置 和 部 署 错误 而 产生 的 很 多 信息 安全 问题 。 然而， 软件 设计 
者 有 责任 “为 部 署 而 设计 ”。 我 们 应 该 总 是 提供 对 部 署 的 支持 ， 以 降低 系统 管理 者 (或 者 用 
户 ) 在 配置 软件 过 程 中 犯错 误 的 概率 。 

作者 推荐 4 种 能 在 系统 中 加 入 部 署 文 持 的 方法 : 

1. 支持 查看 和 分 析 配 置 。 应 该 始终 在 系统 中 包括 允许 管理 员 或 经 过 授权 的 用 户 检查 系统 
的 当前 配置 的 功能 。 

2. 最 小 化 默认 权限 。 所 设计 的 软件 应 该 让 系统 的 默认 配置 提供 最 低 的 基本 权限 。 

3. 本 地 化 配置 设置 。 在 设计 系统 配置 支持 时 ， 应 确保 配置 中 影响 系统 相同 部 分 的 所 有 内 
容 都 设置 在 同一 位 置 。 

4. 提供 简单 的 方法 来 修复 信息 安全 漏洞 。 应 该 包括 用 于 更 新 系统 以 修复 发 现 的 信息 安全 
漏洞 的 简单 机 制 。 

部 署 问题 不 像 以 前 那样 是 问题 了 ， 因 为 越 来 越 多 的 软件 不 需要 客户 端 安装 。 相 反 ， 软 件 
作为 服务 运行 并 且 通 过 Web 浏览 需 访 问 。 然 而 ， 服 务 器 软件 仍然 易于 部 署 错误 和 遗漏 ， 并 
且 一 些 类 型 的 系统 需要 在 用 户 的 计算 机 上 运行 专用 软件 。 

准则 10: 可 恢复 性 设计 

无 论 在 系统 信息 安全 维护 上 花 多 大 的 力气 ， 都 应 该 总 是 假设 信息 安全 失效 是 要 发 生 的 。 
因此 ， 我 们 应 该 考虑 如 何 从 可 能 的 失效 中 恢复 ， 并 重建 系统 使 之 处 于 安全 的 运行 状态 。 例 
如 ， 你 会 包含 一 个 备份 的 验证 系统 以 备 你 的 口令 认证 被 攻破 。 | 
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假设 某 个 未 经 批准 的 人 从 医院 外 部 获得 了 对 病人 记录 系统 的 访问 权限 ， 且 我 们 不 知道 他 
是 如 何 获得 有 效 登 录 名 和 口令 的 。 我 们 需要 重新 初始 化 验证 系统 ， 并 且 不 仅仅 是 修改 被 人 侵 
者 使 用 过 的 证 书 。 这 很 有 必要 ， 因 为 人 侵 者 可 能 也 获得 了 其 他 用 户 的 口令 。 因 此 ， 我 们 也 必 
须 改 变 所 有 已 授权 用 户 的 口令 信息 ， 以 确保 未 经 授权 的 用 户 没有 办 法 进入 口令 变更 机 制 中 来 。 

因此 ， 需 要 设计 系统 使 其 拒绝 对 没有 更 改口 令 的 所 有 用 户 的 访问 ， 直 到 他 们 完成 了 口令 
的 修改 为 止 ， 并 且 给 所 有 的 用 户 发 邮件 要 求 他 们 做 出 修改 。 我 们 需要 一 个 替代 机 制 去 认证 真 
正 用 户 以 允许 他 们 更 改口 令 ， 尽 管 假 设 他 们 选择 的 口令 可 能 是 不 安全 的 。 一 个 方法 是 使 用 挑 
战 / 啊 应 机 制 ， 即 用 户 必须 回答 他 们 事先 注册 的 问题 。 这 只 有 在 修改 口令 的 情况 下 被 调用 ， 
使 得 系统 从 攻击 中 恢复 过 来 ， 只 有 相对 少量 的 用 户 受到 影响 。 

可 恢复 性 的 设计 是 建立 系统 灵活 性 的 基本 要 素 。 第 14 章 中 将 更 详细 地 介绍 这 个 主题 。 


13.4.4 信息 安全 系统 编程 


信息 安全 系统 设计 意味 着 在 应 用 系统 中 设计 信息 安全 性 。 然 而 ,除了 关注 设计 层 的 信息 
安全 性 ， 在 对 软件 系统 编程 时 考虑 信息 安全 性 也 很 重要 ,许多 对 软件 的 成 功 攻击 依赖 于 程序 
开发 时 引入 的 程序 漏洞 。 

第 一 个 广为人知 的 对 基于 互联 网 的 系统 的 攻击 发 生 在 1988 年 ， 当 一 个 蠕虫 被 引入 网 络 
中 的 Unix 系统 时 (Spafford 1989 )。 这 利用 了 一 个 众所周知 的 编程 漏洞 。 如 果 系 统 用 C 编 
程 ， 则 不 进行 目 动 数组 边界 检查 。 攻 击 者 可 以 包括 具有 程序 命令 作为 输入 的 长 字符 串 ， 这 会 
禾 盖 程序 栈 并 且 可 以 使 控制 转移 到 恶意 代码 。 自 那 时 以 来 , 用 C 或 C ++ 编程 的 许多 其 他 系 
统 已 经 被 利用 了 此 漏洞 。 

本 示例 说 明了 信息 安全 系统 编程 的 两 个 重要 方面 : 

1. 漏洞 通 篆 是 语言 特定 的 。 数 组 边界 检查 在 诸如 Java 之 类 的 语言 中 是 自动 的 ， 因 此 这 
不 是 可 以 在 Java 程序 中 利用 的 漏洞 。 然 而 ， 数 以 百 万 计 的 程序 是 用 C 和 C + 编写 的 ， 因 为 
用 它们 可 以 开发 更 高 效 的 软件 。 因 此 简单 地 避免 使 用 这 些 语 言 不 是 一 个 现实 的 选择 。 

2. 信息 安全 漏洞 与 程序 可 靠 性 密切 相关 。 上 述 示例 
于 致 相关 程序 月 沉 ， 因 此 为 提高 程序 可 靠 性 而 采取 的 措 可 靠 的 编程 准则 
施 也 可 以 提高 系统 信息 安全 性 。 1 限制 程序 中 信息 的 可 见 性 

在 第 11 章 中 ， 介 绍 了 可 靠 的 系统 编程 的 编程 准则 ， 2. 检查 所 有 输入 的 有 效 性 
如 图 13-16 所 示 。 这 些 指南 还 有 助 于 提高 程序 的 信息 安 | 3. 为 所 有 异常 提供 处 理 程序 


全 性 ， 因 为 攻击 者 专注 于 程序 漏洞 以 获取 系统 访问 权 | “pe 


限 。 例 如 ，SQL 中 毒 攻 击 基于 攻击 者 使 用 SQL 命令 十 6. 检查 数组 边界 
充 表单 ， 而 不 是 系统 预期 的 文本 。 这 些 可 能 会 损坏 数据 “| 7 调用 外 部 构件 时 包 售 超 时 
库 或 释放 机 密 信 息 。 如 果 根 据 输入 的 预期 格式 和 结构 实 。| 8 命名 表示 真实 世界 值 的 所 有 常量 





施 输入 检查 (指南 2 )， 则 可 以 完全 避免 此 问题 。 图 13-16 可靠 的 编程 准则 


13.5 ”信息 安全 测试 和 保证 


对 系统 信息 安全 性 的 评估 越 来 越 重 要 ， 这 使 得 我 们 可 以 确信 我 们 使 用 的 系统 是 安全 的 。 
因此 ， 基 于 Web 的 系统 的 验证 和 确认 过 程 应 集中 于 信息 安全 评估 ， 其 中 测试 系统 抵抗 不 同 
类 型 攻击 的 能 力 。 但 是 ， 正 如 Anderson ( Anderson 2008 ) 所 说 ， 这 种 信息 安全 评估 很 难 开 
展 。 结果 ， 系 统 总 存在 可 使 攻击 者 获得 存 取 权 、 挫 毁 系 统 或 破坏 数据 的 安全 漏洞 。 
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从 根本 上 讲 ， 信 息 安 全 很 难 评估 的 原因 有 两 个 : 

1. 就 像 某 些 安全 需求 一 样 ， 信 息 安 全 需求 是 “不 应 该 ”的 需求 。 这 就 是 说 ， 它 们 定义 了 
哪些 系统 行为 是 不 允许 发 生 的 ， 而 不 是 定义 了 期 待 发 生 的 行为 。 然 而 ， 并 不 总 是 能 用 一 些 系 
统 容 易 检查 的 简单 约束 来 定义 这 些 行为 。 

如 果 资 源 可 用 (至少 在 原理 上 )， 你 总 能 证 明 系 统 满足 功能 性 需求 。 但 是 很 难 证 明 系 统 
不 能 做 某 事 。 所 以 系统 不 管 有 多 少 的 测试 ， 信 息 安 全 漏洞 仍 保留 在 系统 中 。 

当然 ， 你 可 以 生成 一 些 功 能 性 的 需求 ， 设 计 它 们 来 保护 系统 免 遭 一 些 已 知 类 型 的 攻击 。 
但 是 ， 你 不 能 由 未 知 的 和 不 能 预期 类 型 的 攻击 派生 出 相应 的 需求 。 即 使 对 一 个 久 经 考验 的 系 
统 ， 机 灵 的 攻击 者 也 能 发 现 新 的 攻击 方式 ， 从 而 可 以 进入 看 似 安全 的 系统 中 ， 

2. 攻击 系统 的 人 都 很 聪明 ， 并 且 很 积极 地 去 发 现 系 统 的 漏洞 。 他 们 很 乐意 拿 系统 做 
实验 ， 并 且 尝 试 那些 非 同 寻常 的 行为 和 系统 使 用 。 例 如 ， 在 一 个 姓氏 域内 ， 他 们 可 能 输入 
1000 个 混合 着 字母 、 标 点 和 数字 的 字符 来 看 看 系统 怎么 反应 ， 

此 外 ， 一旦 他 们 发 现 一 个 漏洞， 他 们 就 会 交换 关于 漏洞 的 相关 信息 来 增加 可 能 攻击 者 的 
数目 。 他 们 已 经 建立 了 互联 网 论坛 ， 以 交换 有 关系 统 漏洞 的 信息 。 在 恶意 软件 领域 还 有 一 个 
鞍 勃 发 展 的 市 场 ， 其 中 有 攻击 者 可 以 访问 的 工具 包 ， 帮 助 他 们 轻松 地 开发 恶意 软件 ， 如 蠕虫 
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攻击 者 可 能 尝试 发 现 系 统 开 发 者 所 做 出 的 假设 ， 然 后 做 出 违反 这 些 假设 的 动作 以 观察 出 
现 怎样 的 结果 。 他 们 处 在 一 个 利用 和 探索 系统 的 时 期 ， 并 且 使 用 软件 工具 来 分 析 系 统 ， 以 发 
现 可 以 被 他 们 利用 的 漏洞 。 实 际 上 ， 他 们 可 能 比 系统 测试 工程 师 花 更 多 的 时 间 来 查找 漏洞 ， 
作为 测试 者 也 必须 将 焦点 集中 在 测试 系统 之 上 。 

我 们 可 以 结合 使 用 测试 、 基 于 工具 的 分 析 和 形式 化 验证 来 检查 和 分 析 应 用 系统 的 信息 安 
全 性 : 

1. 基于 经 验 的 测试 。 在 这 种 情形 中 ， 检 验 小 组 根据 掌握 的 攻击 类 型 对 系统 进行 分 析 。 
这 可 能 包括 开发 测试 用 例 或 者 检查 系统 源 代 码 。 人 例如， 检查 系 统 是 否 容易 遭受 众所周知 的 
SQL 中 毒 攻击 时 ， 可 以 使 用 包含 SQL 语句 的 命令 测试 系统 。 检 查 缓冲 区 汶 出 错误 是 否 会 发 
生 时 ， 可 以 检查 所 有 输入 绥 冲 区 ， 看 是 否 程 序 中 缓冲 区 元 素 的 赋值 都 在 边界 内 。 

2. 渗 适 测试。 这 是 一 种 基于 经 验 的 测试 形式 ， 可 以 从 开发 团队 外 部 利用 经 验 来 测试 应 用 
系统 。 专 门 建立 一 个 渗透 测试 小 组 ， 其 使 命 就 是 攻破 系统 信息 安全 防线 。 他 们 模拟 黑客 对 系 
统 攻 击 ， 发 挥 他 们 的 才智 来 发 现 系 统 漏洞 。 渗 透 测 试 小 组 成 员 应 当 具 有 原先 信息 安全 测试 工 
作 的 经 验 ， 并 且 找 到 过 系统 信息 安全 性 的 弱点 。 

3. 基于 工具 的 测试 。 这 种 方法 是 使 用 各 种 不 同 的 信息 安全 工具 如 口令 检查 顺 分 析 系 统 。 
口令 检查 器 检查 不 安全 的 口令 ， 如 姓名 或 由 连续 字母 组 成 的 字符 串 。 这 实际 上 是 基于 经 验 的 
验证 的 扩展 ， 系 统 信息 安全 缺陷 的 经 验 被 固化 在 工具 中 了 。 当 然 ， 静态 分 析 是 男 一 种 使 用 率 
日 益 提 高 的 基于 工具 的 测试 方法 。 

基于 工具 的 静态 分 析 (第 12 章 ) 是 一 种 特别 有 用 的 信息 安全 检查 方法 。 对 程序 的 静态 
分 析 可 以 快速 地 将 测试 团队 引导 到 程序 中 可 能 包含 错误 和 漏洞 的 区 域 。 在 静态 分 析 中 显示 的 
异常 可 以 直接 修复 ,或 者 可 以 帮助 识别 需要 进行 的 测试 以 揭示 这 些 异常 实际 上 是 否 表 示 系 统 
的 风险 。 微 软 使 用 静态 分 析 来 检查 其 软件 是 否 存在 可 能 的 信息 安全 漏洞 (Jenney 2013 )。 惠 
普 提 供 了 一 种 名 为 Fortify ( Hewlett-Packard 2012) 的 工具 ,专门 用 于 检查 Java 程序 的 信息 
安全 漏洞 。 
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4. 形式 化 验证 。 我 们 在 第 10 EMR 12 章 讨论 了 形式 化 程序 验证 的 使 用 。 本 质 上 ， 这 
涉及 形式 化 的 数学 论证 , 证 明 程序 符合 其 规格 说 明 。Hall 和 Chapman (Hall and Chapman 
2002 ) 十 多 年 前 指出 证 明 系 统 满 足 其 正式 信息 安全 需求 的 可 行 性 ， 并 且 自 那 时 以 来 已 经 进行 
了 许多 其 他 实验 。 然 而 ， 与 其 他 领域 一 样 ， 对 信息 安全 的 形式 化 验证 没有 得 到 广泛 使 用 。 它 
需要 专家 的 专业 知识 ， 不 可 能 像 静态 分 析 那 样 具有 合理 的 成 本 效益 。 

信息 安全 测试 不 可 避免 地 受到 测试 团队 可 用 的 时 间 和 资源 的 限制 。 这 就 意味 着 应 当 采 用 
基于 风险 的 方法 来 进行 信息 安全 测试 ， 并 且 把 注意 力 集中 在 你 认为 系统 最 可 能 出 现 问 题 的 风 
险 上 。 如 果 你 对 系统 的 信息 安全 风险 进行 了 分 析 ， 这 些 分 析 可 以 用 来 驱动 测试 的 过 程 。 在 针 
对 这 些 风险 所 导出 的 信息 安全 需求 对 系统 进行 测试 之 外 ， 测 试 团队 也 应 该 试图 通过 采用 另外 
的 威胁 系统 资产 的 途径 来 攻击 系统 。 


* 信息 安全 工程 专注 于 如 何 开发 和 维护 能 够 抵御 束 意 攻击 的 软件 系统 ， 恶意 攻击 破坏 
的 是 基于 计算 机 的 系统 或 其 数据 。 

© 信息 安全 威胁 可 能 是 对 系统 或 其 数据 的 机 密 性 、 完 整 性 或 可 用 性 的 威胁 。 

o 信息 安全 风险 管理 包括 评估 对 系统 的 攻击 可 能 造成 的 损失 ， 并 得 出 则 在 消除 或 减少 
这 些 损失 的 信息 安全 需求 。 

o 为 了 定义 信息 安全 需求 ， 我 们 应 该 识别 要 保护 的 资产 ， 并 定义 如 何 使 用 信息 安全 技 
术 来 保护 这 些 资 产 。 

© 设计 信息 安全 系统 体系 结构 时 的 关键 问题 包括 组 织 系统 结构 以 保护 关键 资产 ,分 发 
系统 资产 以 最 小 化 成 功 攻 击 的 损失 。 

e 信息 ea 
为 创建 安全 审查 清单 提供 了 依据 。 

e 信息 安全 验证 很 困难 ， 因 为 信息 安全 需求 指出 了 系统 中 不 应 该 发 生 什 么 ， 而 不 是 应 
该 发 生 什么 。 此 外 ， 系 统 攻击 者 是 具有 才智 的 ， 并且 比 信息 安全 测试 者 有 更 多 的 时 
间 来 探测 弱点 。 


C Security Engineering:A Guide to Building Dependable Distributed Systems, 2nd ed. ) Xf 
建立 安全 系统 的 问题 进行 了 全 面 的 讨论 。 重 点 在 于 系统 而 不 是 软件 工程 ,广泛 讨论 了 硬件 和 
网 络 ， 以 及 来 自 实 际 系统 失效 的 优秀 示例 。(R. Anderson, John Wiley & Sons, 2008 ) http:// 
www.cl.cam.ac.uk/~rjal 4/book.html | 

(24 Deadly Sins of Software Security : Programming Flaws and How to Fix Them) #24 
关 安 全 系统 编程 的 最 好 的 实用 书 之 一 。 作 者 讨论 了 最 常见 的 编程 漏洞 ， 并 描述 了 如 何在 实践 
中 避免 这 些 漏洞 。(M. Howard, D. LeBlanc, J. Viega, McGraw-Hill, 2009 ) 

《 Computer Security: Principles and Practice 》 是 关于 计算 机 安全 问题 的 一 本 好 教材 。 它 涵 
盖 安 全 技术 、 可 信 系 统 、 安 全 管理 和 加 密 。(W. Stallings, L. Brown, Addison-Wesley, 2012 ) 


网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap13/ 
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支持 视频 的 链接 : -http://software-engineering-book.com/videos/security-and-resilience / 


练习 


13.1 解释 应 用 信息 安全 工程 和 基础 设施 信息 安全 工程 之 间 的 重要 区 别 。 

13.2 ”对 于 Mentcare 系统 ， 除 了 本 章 中 讨论 的 内 容 之 外 ， 请 提供 资产 、 暴 露 、 漏 洞 、 攻 击 、 
威胁 和 控制 的 例子 。 

13.3 解释 为 什么 在 系统 开发 期 间 需 要 进行 初步 信息 安全 风险 评估 和 设计 风险 评估 。 

13.4 扩展 图 13-7 中 的 表格 ， 以 确定 Mentcare 系统 的 另外 两 个 威胁 以 及 相关 的 控制 。 使 用 
它们 作为 生成 实现 建议 控制 的 软件 信息 安全 需求 的 基础 。 

13.5 ”使 用 非 软 件 工程 环境 中 的 类 比 解释 为 什么 应 该 使 用 分 层 的 资产 保护 方法 。 

13.6 解释 为 什么 在 开发 安全 系统 时 使 用 多 种 技术 很 重要 ， 

13.7 对 于 13.4.2 节 讨 论 的 股票 交易 系统 ， 其 体系 结构 如 图 13-14 所 示 ， 提 出 对 系统 进一步 
的 合理 攻击 ， 并 提出 对 付 这 些 攻击 的 可 能 策略 。 

13.8 ”解释 为 什么 在 编写 安全 系统 时 ， 要 验证 所 有 用 户 输入 是 否 具有 预期 格式 。 

13.9 ”说 明 你 会 如 何 验证 你 开发 的 应 用 程序 的 密码 保护 系统 。 解 释 你 认为 可 能 有 用 的 工具 所 
具有 的 功能 。 

13.10 Mentcare 系统 必须 防范 可 能 暴露 病人 个 人 信息 的 攻击 。 提 出 针对 此 系统 的 三 种 可 能 
的 攻击 。 使 用 此 信息 ， 扩 展 图 13-17 中 的 清单 来 帮助 Mentcare 系统 的 测试 人 员 。 


信息 安全 检查 表 
L 在 应 用 程序 中 创建 的 所 有 文件 是 否 具有 适当 的 访问 权限 ?错误 的 访问 权限 可 能 导致 这 些 文件 被 未 
经 授权 的 用 户 访问 。 | 
2. 在 不 活动 一 段 时 间 后 ， 系 统 是 否 自动 终止 用 户 会 话 ?处 于 活动 状态 的 会 话 可 能 允许 通过 无 人 值守 
计算 机 进行 未 经 授权 的 访问 。 


3. 如 果 系 统 是 用 编程 语言 编写 的 ， 没 有 数组 边界 检查 ， 有 没有 缓冲 区 溢出 可 能 被 利用 的 情况 ?缓冲 
区 溢出 可 能 允许 攻击 者 向 系统 发 送 代码 字符 串 ， 然 后 执行 它们 。 


4. 如 果 设 置 了 密码 ， 系 统 是 否 检查 密码 是 否 “ 强 ”? 强 密码 由 混合 字母 、 数 字 和 标点 符号 组 成 ， 不 
是 正常 的 字典 条 目 。 它们 比 简单 的 密码 更 难 破解 。 


5. 是 否 始 终 根据 输入 规范 检查 系统 环境 的 输入 ”错误 处 理 错 误 的 输入 是 导致 信息 安全 淖 洞 的 常见 原因 。 
图 13-17 信息 安全 检查 表 中 的 条 目 示 例 
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目标 

本 曹 的 目标 是 介绍 韧性 工程 的 思想 ， 其 含义 是 通过 设计 使 得 系统 能 够 经 受 不 利 的 外 部 事 
件 〈 例 如 操作 人 员 失 误 或 网 络 攻 击 ) 的 影响 。 阅 读 完 本 章 后 ， 你 将 : 

e 理解 韧性 、 可 靠 性 、 信 息 安全 性 的 区 别 ， 以 及 理解 韧性 对 于 网 络 化 系统 为 什么 重要 ; 

o 了 解构 造 韧 性 系统 的 一 些 基 础 问题 ， 即 问题 发 现 、 失 效 和 攻击 防御 、 关 键 性 服务 恢 

复 ， 以 及 系统 复原 ; 
e 理解 韧性 为 什么 是 一 个 社会 技术 问题 而 不 是 一 个 纯 技 术 问 题 ， 以 及 系统 操作 人 员 和 
管理 人 员 在 保证 系统 蔬 性 过 程 中 的 角色 ; 

o 了 解 一 个 可 以 实现 韧性 的 系统 设计 方法 。 

1970 年 4 月 ， 阿 波 罗 13 月 球 载 人 飞行 任务 遭遇 了 一 次 灾难 性 的 事故 (失效)。 一 个 氧 
气 瓶 在 太空 中 爆炸 ， 导 致 空气 中 的 氧气 以 及 为 飞船 提供 动力 的 燃料 电池 所 用 的 氧气 发 生 严 重 
泄漏 。 这 种 情形 威胁 生命 安全 ， 无 法 救援 。 针 对 这 种 情形 没有 事故 处 理 预 案 。 然 而 ， 通 过 按 
照 非常 规 的 方式 使 用 设备 以 及 对 标准 规程 的 调整 ， 飞 船 全 体 船 员 和 地 面 工作 人 员 一 起 努力 解 
决 了 这 个 问题 。 飞 船 被 安全 带 回 地 球 ， 全 体 船 员 都 得 以 幸存 。 这 个 系统 (人 人、 设备、 过 程 ) 
整体 上 是 有 韧性 的 ， 通 过 适应 性 调整 成 功 应 对 了 这 次 事故 (失效 ) 并 从 中 恢复 。 

本 书 第 10 章 中 ， 作 为 系统 可 靠 性 的 一 个 基本 属性 介绍 了 韧性 的 概念 。 其 中 对 于 韧性 的 
定义 如 下 : 

系统 的 韧性 是 指 系 统 在 出 现 破 坏 性 事件 (例如 设备 失效 和 网 络 攻击 ) 的 情况 下 能 够 保持 
系统 关键 性 服务 的 连续 性 的 程度 。 

关于 荐 性 并 没有 “标准 ”的 定义 。 其 他 作者 ， 例 如 Laprie ( Laprie 2008 ) 和 Hollnagel 
(Hollnagel 2006 )， 按 照 系统 应 对 变化 的 能 力 给 出 了 男 一 个 泛 化 的 定义 ， 即 一 个 有 韧性 的 系 
统 能 够 在 系统 设计 者 所 做 出 的 一 些 基 本 假设 不 再 成 立 的 情况 下 也 能 够 保持 正常 运行 。 例 如 ， 
一 个 系统 最 初 的 设计 假设 可 能 是 用 户 会 犯错 但 不 会 故意 寻找 系统 的 漏洞 并 加 以 利用 。 如 果 
这 个 系统 在 一 个 容易 遭受 网 络 攻 击 的 环境 中 使 用 ， 这 个 假设 便 不 再 成 立 。 一 个 有 韧性 的 系 
统 可 以 应 对 这 种 环境 变化 并 持续 正和 背 运 行 。 昌 然 这 些 定 义 更 加 泛 化 ， 但 是 本 书 对 于 韧性 的 
定义 更 加 接近 目前 政府 和 工业 界 在 实践 中 对 这 个 术语 的 使 用 。 其 中 包含 了 3 个 方面 的 基本 
思想 : 

1. 一 个 系统 所 提供 的 服务 中 有 一 些 是 关键 性 服务 ， 这 些 服务 的 失效 会 造成 严重 的 人 员 、 
社会 或 者 经 济 损失 。 

2. 有 些 事件 是 破坏 性 的 ， 可 能 会 影响 系统 提供 关键 服务 的 能 力 。 

3. 蔬 性 是 一 种 判断 ， 没 有 关于 毛 性 的 度量 标准 ， 韧 性 也 无 法 度量 。 一 个 系统 的 韧性 只 能 
由 专家 通过 查看 系统 及 其 运行 过 程 来 评价 。 

关于 系统 韧性 的 基础 性 工作 起 源 于 安全 关键 系统 社 群 ， 他 们 的 目的 是 理解 哪些 因素 有 
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助 于 避免 事故 以 及 在 事故 中 生存 。 然 而 ， 针 对 网 络 化 系统 越 来 越 多 的 网 络 攻击 意味 着 韦 性 
现在 经 常 被 视 为 一 个 信息 安全 问题 。 构 造 可 以 经 受 恶 意 网 络 攻击 并 保持 用 户 服务 的 系统 十 分 
重要 。 

显然 ,韧性 工程 与 可 靠 性 和 信息 安全 工程 密切 相关 。 可 靠 性 工程 的 目的 是 保证 系统 不 失 
效 。 系 统 失效 是 一 个 外 部 可 观察 的 事件 ， 往 往 是 系统 内 部 故障 导致 的 结果 。 因 此 ， 如 第 11 
草 中 所 讨论 的 故障 避免 和 容错 等 技术 相继 被 提出 以 减少 系统 故障 数量 ， 并 在 故障 导致 系统 失 
效 前 进行 控制 。 

即使 我 们 已 经 竭尽 全 力 ， 故 障 总 是 会 在 大 型 、 复 杂 系 统 中 出 现 并 导致 系统 失效 。 交 付 时 
间 很 短 ， 测 试 预算 有 限 ， 开 发 团队 在 压力 下 工作 ， 而 在 现实 中 发 现 一 个 软件 系统 中 所 有 故障 
和 信息 安全 漏洞 几乎 是 不 可 能 的 。 我 们 构造 的 系统 是 如 此 复杂 ( 见 第 19 章 )， 以 至 于 我 们 不 
可 能 理解 系统 构件 之 间 的 所 有 交互 。 这 些 交 互 中 的 一 些 可 能 触发 系统 的 全 局 失效 。 

韧性 工程 并 不 关注 避免 失效 ， 而 是 关注 接受 失效 总 会 发 生 的 现实 。 它 有 两 个 重要 的 
(BU 

1. 万 性 工程 假设 系统 失效 无 法 避免 ， 因 此 关注 降低 失效 带 来 的 损失 以 及 如 何 从 失效 中 
恢复 。 

2. 蔬 性 工程 假设 系统 开发 已 经 采用 了 好 的 可 靠 性 工程 实践 来 尽 可 能 减少 系统 中 技术 故障 
的 数量 ， 因 此 更 加 强调 减少 由 外 部 事件 (例如 ， 操作 人 员 失 误 或 网 络 攻 击 ) 导致 的 系统 失效 
的 数量 ，。 

实践 中 ， 技 术 系 统 失 效 经 和 常 是 由 系统 外 部 事件 引发 的 。 这 些 事件 可 能 包括 意料 之 外 的 操 
作 人 员 动 作 或 者 用 户 错误 。 然而， 过 去 几 年 随 着 网 络 化 系统 数量 的 增长 ， 这 类 事件 经 常 与 网 
络 攻击 相关 。 在 网 络 攻击 中 ， 一 个 恶意 的 人 或 群体 试图 破坏 系统 或 镭 取 机 密 信 息 。 这 些 已 经 
成 为 比 用 户 或 操作 人 员 失 误 更 加 突出 的 系统 失效 来 源 。 

由 于 我 们 假设 失效 发 生 不 可 避免 ， 韧性 工程 既 关注 从 失效 中 立即 恢复 以 保证 关键 性 服务 
的 提供 ， 又 关注 后 续 所 有 系统 服务 的 恢复 。 正 如 14.3 节 中 所 讨论 的 ， 这 意味 着 系统 设计 人 
员 必 须 考虑 能 够 保持 系统 的 软件 状态 和 数据 的 系统 特性 ， 从 而 保证 当 发 生 系 统 失效 时 重要 的 
信息 可 以 恢复 。 

系统 问题 的 发 现 和 恢复 包括 4 个 相关 的 韧性 活动 。 

1. 发 现 。 系 统 或 其 操作 者 应 当 能 够 发 现 可 能 导致 系统 失效 的 问题 的 症状 。 理 想 情况 下 ， 
应 当 有 可 能 在 系统 失效 之 前 发 现 症状 。 

2. 防御 。 如 果 较 早 发 现 问 题 的 症状 或 者 网 络 攻击 的 迹象 ， 那 么 可 以 调用 防御 策略 来 减少 
系统 失效 发 生 的 可 能 性 。 这 些 防御 策略 可 以 关注 将 系统 的 关键 性 部 分 隅 离开 以 使 得 它们 不 会 
受到 其 他 地 方 问题 的 影响 。 防 御 包 括 主动 防御 ( 即 系统 中 包含 防御 机 制 来 应 对 问题 ) 以 及 反 
应 式 防 御 ( 即 在 发 现 问 题 后 再 采取 行动 )。 

3. 恢复 。 如 果 发 生 失 效 ， 那么 恢复 活动 的 目的 是 快速 恢复 关键 性 的 系统 服务 以 确保 系统 
用 户 不 会 严重 地 受到 失效 的 影响 。 

4. 复原 。 在 这 个 最 终 的 活动 中 ， 所 有 的 系统 服务 都 得 到 恢复 ， 正 常 的 系统 操作 可 以 
继续 。 
这 些 活动 中 的 系统 状态 变化 如 图 14-1 所 示 ， 其 中 反映 了 系统 在 遭受 网 络 攻击 时 的 状态 
变化 。 系 统 在 正常 运行 的 过 程 中 同时 监控 网 络 流量 以 发 现 可 能 的 网 络 攻击 。 当 发 生 网 络 攻击 
时 ， 系 统 进入 防御 状态 ， 此 时 系统 的 正常 服务 可 能 会 受到 限制 。 
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修复 完成 


攻击 失败 





图 14-1 韧性 活动 


如 果 系 统 防御 措施 成 功 地 击 退 了 攻击 ,那么 系统 恢复 正常 服务 。 否 则 系统 将 进入 恢复 状 
态 ， 此 时 系统 将 只 提供 关键 性 服务 ， 并 对 网 络 攻击 造成 的 损害 进行 修复 。 随 后 ， 当 修复 完成 
后 系统 进入 复原 状态 ， 此 时 系统 的 服务 逐渐 恢复 。 最 终 ， 当 所 有 恢复 完成 后 ， 系 统 恢复 正 第 
服务 。 

正如 阿波 罗 13 的 例子 中 所 反映 的 ， 韧性 无 法 预先 在 系统 中 实现 。 预 测 到 所 有 可 能 出 现 
的 错误 以 及 预测 所 有 可 能 出 现 问题 的 外 部 环境 是 不 可 能 的 。 因 此 ， 韧 性 的 关键 是 灵活 性 以 及 
适应 性 。 正 如 在 14.2 节 中 所 提 到 的 ， 系 统 操作 人 员 和 管理 人 员 应 当 有 可 能 采取 行动 来 保护 
和 修复 系统 ， 即 使 这 些 行动 是 非常 规 的 或 者 在 一 般 情况 下 是 不 被 允许 的 。 

提高 系统 的 韧性 当然 意味 着 较 高 的 投资 ， 例 如 ， 购 买 或 修改 所 需要 的 软件 ， 在 硬件 或 
云 服务 上 付出 额外 的 投资 以 提供 在 系统 失效 时 可 以 使 用 的 备份 系统 。 这 些 投资 的 收益 无 法 计 
算 ， 因 为 由 于 系统 失效 或 攻击 导致 的 损失 只 能 在 发 生 之 后 才能 计算 出 来 。 

因此 ， 如 果 从 未 遭遇 过 严重 的 攻击 或 承受 由 此 造成 的 损失 的 话 ， 企 业 可 能 会 不 愿意 在 
加 强 系统 韧性 上 进行 投资 。 然 而 ， 随 着 越 来 越 多 的 破坏 商业 和 政府 系统 的 网 络 攻击 事件 见 诸 
报端 ， 对 于 系统 韧性 的 需要 也 逐渐 被 广泛 接受 。 很 清楚 的 是 ， 由 此 带 来 的 损失 可 能 会 相当 惊 
A, 遭受 攻击 后 业务 系统 有 可 能 会 无 法 幸免 。 因 此 ， 关 于 币 性 工程 的 投资 越 来 越 多 ， 以 减少 
与 系统 失效 有 关 的 业务 风险 。 


14.1 网 络 安全 


我 们 整个 社会 面临 的 最 严峻 的 问题 之 一 就 是 保持 我 们 网 络 化 基础 设施 、 政 府 、 业 务 以 
及 个 人 计算 机 系统 的 信息 安全 。 互 联网 的 普及 以 及 我 们 对 于 计算 机 系统 日 益 增强 的 依赖 性 为 
盗窃 和 扰乱 社会 秩序 分 子 创 造 了 新 的 犯罪 机 会 。 由 于 网 络 犯罪 导致 的 损失 难以 度量 。 然 而 ， 
据 估 计 2013 年 全 球 经 济 由 于 网 络 犯 罪 导 致 的 损失 高 达 1000 ~ 5000 亿美 元 (InfoSecurity 
2013 ). 

如 第 13 章 所 述 ， 网 络 安全 是 一 个 比 系统 信息 安全 工程 更 加 广泛 的 话题 。 软 件 信 息 安 全 
工程 主要 是 一 个 技术 活动 ， 关 注 保证 应 用 系统 信息 安全 的 技术 和 科技 。 网 络 安全 是 一 个 社会 
技术 关注 点 ,涵盖 了 对 公民 、 业 务 以 及 关键 基础 设施 的 保护 ,使 其 免 受 由 于 计算 机 和 互联 网 
的 使 用 而 导致 的 威胁 的 所 有 方面 内 容 。 虽 然 技术 问题 很 重要 ， 但 只 依赖 技术 很 难保 证 信息 安 
人 全。 导致 信息 安全 问题 的 因素 包括 : 

e 组 织 策略 上 忽视 该 问题 的 严重 性 ; 

e 糟糕 的 设计 以 及 没有 严格 执行 信息 安全 规程 ; 


e KAZ; 

e 对 于 可 用 性 和 信息 安全 性 不 恰当 的 权衡 。 

网 络 安全 与 一 个 组 织 从 网 络 到 应 用 系统 的 所 有 信息 资产 都 相关 。 这 些 资 产 中 绝 大 多 数 都 
是 从 外 部 采购 的 ， 企业 对 它们 的 详细 运行 方式 并 不 完全 理解 。 像 Web 浏览 器 这 样 的 系统 都 
是 大 型 、 复 杂 的 程序 ， 不 可 避免 地 会 包含 可 能 成 为 漏洞 来 源 的 软件 bug。 一 个 组 织 中 不 同 的 
系统 以 多 种 不 同 的 方式 相互 关联 。 这 些 系统 可 能 会 在 同一 块 磁盘 上 存储 、 共 享 数据 、 依 赖 于 
通用 的 操作 系统 构件 等 章 组 织 的 “系统 之 系统 ”的 复杂 程度 令 人 难以 置信 。 对 于 这 样 的 复杂 
系统 不 可 能 保证 完全 没有 信息 安全 漏洞 。 

对 此 ， 一 般 情况 下 都 应 该 假设 你 的 系统 易 受 网 络 攻击 ， 而 且 在 某 些 阶段 很 容易 发 生 网 络 
攻击 。 os Spot 因此 限制 攻击 以 及 降低 
损失 就 变 得 尤为 重要 了 。 组 织 以 及 系统 层次 上 有 效 的 韦 性 工程 可 以 防御 攻击 ， 并 能 在 攻击 发 
生 后 快速 恢复 系统 正常 运行 ， 从 而 降低 损失 ，。 

第 13 章 中 介绍 了 信息 安全 工程 ， 其 中 介绍 了 一 些 对 于 韧性 规划 非常 重要 的 思想 。 其 中 
一 些 思 想 如 下 : 
1. 资产 ， 必 须 进 行 保 护 的 系统 和 数据 。 一 些 资产 比 其 他 资产 价值 更 高 ， 因 此 需要 更 高 等 

级 的 保护 。 

2. 威胁 ， 通 过 破坏 或 窃取 组 织 的 信息 技术 基础 设施 或 系统 资产 ， 从 而 造成 损失 的 情形 。 

3. 攻击 ， 攻 击 者 试图 破坏 或 窃取 信息 技术 资产 (例如 网 站 或 个 人 数据 ) 的 一 个 威胁 的 
表现 。 

韧性 规划 过 程 中 必须 考虑 的 3 类 威胁 如 下 。 

1. 对 资产 机 密 性 的 威胁 。 在 这 种 情况 中 ， 数 据 没 有 被 破坏 ， 但 是 被 本 来 不 应 该 具有 访问 
权 的 人 获得 。 机 密 性 威胁 的 一 个 例子 是 ， 一 家 企业 拥有 的 信用 卡 数据 库 被 资 ， 其 中 的 信用 卡 
言 县 可 能 会 被 非法 使 用 。 

2. 对 资产 完整 性 的 威胁 。 在 这 些 威胁 中 ， 网 络 攻击 通过 某 种 方式 破坏 系统 或 数据 ， 其 中 
可 能 涉及 感染 软件 病毒 、 里 虫 或 者 破坏 组 织 数据 库 。 

3. 对 资产 可 用 性 的 威胁 。 这 些 威胁 目的 是 拒绝 授权 用 户 使 用 相关 资产 。 最 著名 的 例子 是 
拒绝 服务 攻击 ， 它 的 目的 是 使 网 站 瘫痪 并 使 外 部 用 户 无 法 使 用 。 

这 些 威胁 种 类 不 是 独立 的 。 一 个 攻击 者 可 能 会 通过 引入 恶意 软件 〈 例 如 僵尸 网 络 构件 ) 
来 威胁 一 个 用 户 的 系统 完整 性 。 该 构件 接 下 来 会 被 远程 调用 ， 成 为 一 个 针对 其 他 系统 的 分 布 
式 拒绝 服务 攻击 的 一 部 分 。 其 他 种 类 的 恶意 软件 可 以 被 用 来 获取 个 人 信息 ， 从 而 导致 机 密 资 
产 被 非法 访问 。 

为 了 对 抗 这 些 威胁 ， 应 该 进行 控制 以 使 得 攻击 者 很 难 访问 或 破坏 资产 。 提 升 对 网 
络 安全 的 认识 也 很 重要 ， eta ies woe AMERS Hh aR 


可 以 使 用 的 安全 控制 的 例子 如 下 。 

1. 身份 认证 ， 一 个 系统 的 用 户 必须 表明 他 们 被 授权 访问 该 系统 。 我 们 所 熟悉 的 基于 登录 
和 密码 的 方法 是 一 种 普遍 使 用 的 身份 认证 手段 ， 但 这 种 控制 很 弱 。 

2. 加 密 ， 数 据 通过 算法 进行 混淆 ， 从 而 使 非 授权 的 读 取 者 无 法 访问 其 中 的 信息 。 许 多 企 
业 现 在 都 要 求 对 笔记 本 硬盘 进行 加 密 。 如 果 笔 记 本 丢失 或 被 资 ， 那么 这 一 手段 将 降低 机 密 信 
息 泄漏 的 可 能 性 。 
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3. 防火 墙 ， 对 进入 系统 的 网 络 包 进行 检查 ， 根 据 一 系列 组 织 定 义 的 规则 接受 或 拒绝 网 络 
包 。 防 火 墙 可 以 用 来 保证 只 有 来 自 可 信 来 源 的 网 络 流量 被 允许 从 外 部 互联 网 传人 本 地 组 织 的 
网 络 。 

组 织 中 的 各 种 控制 手段 构成 了 一 个 分 层 的 保护 系统 。 一 个 攻击 者 为 了 成 功 实施 攻击 必 
须 攻破 所 有 这 些 保护 层 。 然 而 ,保护 和 效率 之 间 需 要 权衡 。 随 着 保护 层 的 增加 ， 系 统 会 变 得 
越 来 越 慢 。 保 护 系统 所 耗费 的 存储 和 处 理 器 资源 越 来 越 多 ， 使 得 用 于 完成 有 用 工作 的 资源 变 
少 。 信息 越 安全 ， 对 用 户 越 不 万 便 ， 因此 他 们 也 就 更 容易 采取 不 安全 的 实践 方式 来 提高 系统 
的 可 用 性 。 

与 系统 可 依赖 性 的 其 他 方面 一 样 ， 防 范 网 络 攻击 的 根本 手段 依赖 于 元 余 和 多 样 性 。 苑 
余 意 味 着 系统 中 有 空闲 的 能 力 和 重复 的 资源 。 多 样 性 意味 着 使 用 不 同类 型 的 设备 、 软 件 和 规 
程 ， 使 得 同样 的 失效 不 太 会 在 一 系列 系统 中 同时 发 生 。 通 过 元 余 和 多 样 性 实现 网 络 韧 性 的 例 
FFs 

1. 对 于 每 个 系统 ， 在 多 个 独立 的 计算 机 系统 上 维护 多 个 数据 和 软件 的 拷贝 。 如 果 可 能 应 
当 尽 量 避 免 使 用 共享 磁盘 。 这 一 点 可 以 支持 网 络 攻击 后 成 功 的 恢复 (恢复 和 复原 )。 

2. 多 阶段 多 样 化 的 身份 认证 可 以 防止 密码 攻击 。 除 了 登录 /密码 身份 认证 ， 还 可 以 包 
括 一 些 附加 的 验证 步骤 ， 要 求 用 户 提 供 一 些 个 人 信息 或 者 由 他 们 的 移动 设备 生成 的 验证 码 
(防御 )。 

3. 关键 服务 器 可 以 具备 元 余 能 力 ， 也 就 是 说 它们 可 以 配备 比 处 理 所 预 期 的 负载 更 加 强大 
的 能 力 。 这 些 空闲 的 能 力 意味 着 这 些 服 务 器 可 以 在 不 需要 降低 服务 器 正 常 啊 应 时 间 的 情况 下 
防御 攻击 。 此 外 ， 如 果 其 他 服务 咒 被 破坏 ， 这 些 空 闲 能 力 可 以 在 其 他 服务 需 进 行 修 复 时 被 用 
于 运行 这 些 服务 器 上 的 软件 (防御 和 恢复 )。 

网 络 安全 规划 必须 基于 资产 、 控 制 以 及 声 性 工程 的 4R， 即 发 现 (recognition)、 防 御 
(resistance)、 恢 复 (recovery)、 复 原 (reinstatement)。 图 14-2 显示 了 一 个 可 以 遵循 的 规划 过 
fe, 其 中 的 关键 阶段 如 下 。 

1. 资产 分 类 。 针 对 组 织 的 硬件 、 软 件 和 人 力 资产 进行 检查 ， 并 按照 它们 对 于 系统 正常 运 
行 的 重要 程度 进行 分 类 。 可 以 按照 关键 的 、 重 要 的 或 者 有 用 的 对 它们 进行 分 类 . 

2. 成 胁 识 别 。 对 于 这 些 资 产 中 的 每 一 个 (或 者 至 少 那 些 关键 的 和 重要 的 资产 )， 应 该 识 
别 对 该 资产 的 威胁 并 进行 分 类 。 某 些 情况 下 ， 可 以 和 尝试 对 威胁 发 生 的 可 能 性 进行 评估 ， 但 这 
种 评估 经 常 都 不 太 准 确 ， 因 为 缺少 关于 潜在 攻击 者 的 足够 信息 

3. 威胁 发 现 。 对 于 每 个 威胁 ， 或 者 有 时 候 该 考虑 资产 /威胁 对 ， 即 考 虑 基于 该 威胁 的 攻 
击 可 以 如 何 发 现 。 你 可 能 会 需要 额外 购买 或 开发 一 些 软件 来 进行 威胁 发 现 ， 或 者 落实 常规 的 
检查 规程 。 

4. 威胁 防御 。 对 于 每 个 威胁 或 资产 /威胁 对 ， 应 该 考虑 可 能 的 防御 策略 。 这 些 策略 可 能 
授 入 在 系统 中 (技术 策略 )， 也 可 能 依赖 于 运行 规程 。 你 还 可 能 要 考虑 威胁 抵 销 策略 ， 使 得 
威胁 不 再 出 现 

S; 资产 恢复 对 于 每 个 关键 性 的 资产 或 资产 / 威胁 对 ， 应 该 考虑 资产 在 成 功 的 网 络 攻击 
发 生 后 应 该 如 何 恢复 。 ee 以 使 得 访问 元 余 的 
数据 拷贝 更 容易 。 

6. 资产 复原 这 是 一 种 更 加 全 面 的 资产 恢复 过 程 ， 其 中 会 定义 恢复 系统 正常 运行 的 规 
程 。 资 产 复原 应 该 针对 所 有 的 资产 进行 考虑 ， 而 不 仅仅 是 那些 对 组 织 而 言 关键 性 的 资产 ， 
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所 有 可 能 的 地 方 ， 都 应 该 使 用 针对 系统 的 模拟 攻击 来 对 所 确定 的 策略 进行 测试 。 

网 络 韧性 规划 另 一 个 重要 的 部 分 是 ， 确 定 如 何在 发 生 网 络 攻击 后 支持 灵活 的 响应 策略 。 
族 盾 的 是 ， 盾 性 和 信息 安全 需求 经 常 有 冲突 。 信 息 安 全 的 目标 通常 是 尽 可 能 限制 特权 以 使 得 
用 户 只 能 做 那些 组 织 的 信息 安全 政策 所 允许 的 事情 。 然而， 为 了 解决 问题 ， 用 户 或 系统 操作 
人 员 可 能 不 得 不 更 加 主动 地 采取 一 些 正常 情况 下 应 该 由 具有 更 高 特权 的 人 执行 的 行动 。 

例如 ， 一 个 医疗 系统 的 系统 管理 者 正常 情况 下 是 不 允许 修改 医护 人 员 访 问 医疗 记录 的 权 
限 的 。 出 于 信息 安全 的 考虑 ， 访 问 许可 必须 得 到 正式 授权 ， 并 且 需 要 两 个 人 一 起 参与 权限 修 
改 。 这 一 规定 降低 了 系统 管理 人 员 与 攻击 者 合谋 并 授予 其 访问 机 密 医 疗 信息 访问 权限 的 机 会 。 

现在 ,设想 该 系统 管理 人 员 注 意 到 一 个 已 登录 的 用 户 正在 访问 大 量 的 记录 ， 而 此 时 并 不 
是 他 的 工作 时 间 。 该 管理 人 员 怀 疑 有 账户 被 盗 ， 而 访问 这 些 记 录 的 并 不 是 授权 用 户 本 人 。 为 
了 降低 破坏 性 ， 用 户 的 访问 权限 应 该 被 收回 ， 并 且 对 该 授权 用 户 进行 检查 以 确定 这 些 访问 是 
不 是 非法 的 。 然 而 ,信息 安全 规程 限制 了 系统 管理 人 员 修 改 用 户 许 可 的 权力 ， 使 得 管理 人 员 
无 法 采取 这 些 措 施 。 

韧性 规划 应 当 考 虑 这 类 情形 。 一 种 实现 方式 是 在 系统 中 包含 一 个 “应 急 ” 模 式 ， 在 此 模 
式 下 常规 检查 都 可 以 被 忽略 。 这 样 ， 系 统 不 再 禁止 这 些 操 作 ， 而 是 通过 日 志 记录 所 做 的 事情 
以 及 为 此 负责 的 人 。 因 此 ， 可 以 使 用 应 急 处 理 的 审计 跟踪 来 检查 系统 管理 人 员 的 处 理 是 否 合 
理 。 当 然 ， 这 其 中 也 存在 滥用 的 可 能 ， 应 急 模式 的 存在 本 身 也 是 一 种 潜在 的 漏洞 。 因 此 ， 组 
织 必须 针对 在 系统 中 增加 文 持 韧性 的 附加 特性 的 潜在 损失 和 收益 进行 权衡 考虑 。 


14.2 ”社会 技术 韧性 


从 根本 上 说 ,韧性 工程 是 一 个 社会 技术 活动 而 不 是 纯 技 术 活动 。 如 在 第 10 章 所 解释 的 
那样 ， 一 个 社会 技术 系统 包括 硬件 、 软 件 和 人 ， 并且 受到 拥有 和 使 用 该 系统 的 组 织 的 文化 、 
稼 略 、 规 程 等 方面 的 影响 。 为 了 设计 一 个 韧性 系统 ， 必 须 考虑 社会 技术 系统 设计 而 不 是 仅 关 
注 软件 。 韦 性 工程 关注 可 能 导致 系统 失效 的 不 利 的 外 部 事件 。 在 更 广阔 的 社会 技术 系统 范围 
内 处 理 这 些 事件 经 常会 更 容易 也 更 有 效 。 

例如 ，Mentcare 系统 维护 机 密 的 病人 数据 ， 而 一 个 可 能 的 外 部 网 络 攻击 可 能 会 意图 穷 
取 这 些 数 据 。 技 术 防 护 手段 (如 身份 认证 和 加 密 等 ) 可 以 用 来 保护 数据 ， 但 如 果 攻 击 者 能 够 
拿 到 一 个 真实 系统 用 户 的 凭据 那么 这 些 手 段 就 无 效 了 。 你 可 以 试图 通过 更 复杂 的 身份 认证 规 
程 在 技术 层面 上 解决 这 一 问题 。 但 是 ， 这 些 规程 对 用 户 造成 了 不 便 ， 而 且 可 能 会 导致 漏洞 ， 
因为 他 们 会 用 笔记 下 吴 份 认证 信息 。 一 个 更 好 的 策略 可 能 是 引入 组 织 政策 和 规程 来 强调 不 要 
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韧性 系统 具有 灵活 性 和 适应 性 ， 因 此 可 以 应 对 非 预 期 的 情形 。 开 发 具有 适应 性 、 能 够 应 
对 非 预 期 问题 的 软件 是 很 难 的 。 然 而 ， 正 如 我 们 从 阿波 罗 13 的 事故 中 所 看 到 的 ， 人 很 善于 
处 理 这 种 局 面 。 因 此 ， 为 了 获得 韧性 ， 应 该 利用 人 是 社会 技术 系统 的 固有 部 分 这 一 点 。 不 要 
试图 预测 并 处 理 软件 中 的 所 有 问题 ， 而 应 该 将 一 些 的 问题 留 给 负责 操作 及 管理 软件 系统 的 人 
来 解决 。 

为 了 理解 为 什么 应 该 将 一 些 问题 留 给 他 人 来 解决 ， ae 
你 必须 考虑 社会 技术 系统 的 层次 ， 其 中 包括 技术 系统 以 
及 软件 密集 型 系统 。 图 14-3 中 描述 了 属于 一 个 更 大 范围 
内 的 社会 技术 系统 STI 的 技术 系统 S1 和 S2。 该 社会 技 
术 系 统 包括 监控 S1 和 S2 状况 以 及 采取 行动 解决 这 些 系 
统 中 的 问题 的 操作 人 员 。 如 果 系 统 S| 失效， 那么 STI 
中 的 操作 人 员 可 以 发 现 该 失效 并 在 软件 失效 导致 更 大 学 | 
围 内 的 社会 技术 系统 失效 之 前 采取 恢复 措施 。 操 作 人 员 ”图 143 嵌 套 的 技术 和 社会 技术 系统 
还 可 以 依照 恢复 和 复原 规程 来 使 S1 恢复 正常 运行 状态 。 

运行 和 管理 过 程 是 组 织 和 所 使 用 的 技术 系统 之 间 的 接口 。 如 果 这 些 过 程 设 计 民 好 的 话 ， 
那么 它们 能 够 使 人 们 发 现 并 处 置 技术 系统 失效 ， 并 最 大 限度 地 减少 操作 人 员 的 错误 。 正 如 
14.2.2 节 中 所 讨论 的 那样 ， 采 用 过 度 自 动 化 的 严格 过 程 并 不 能 天 然 实 现 韦 性。 这 种 方式 不 允 
许 人 使 用 他 们 的 技能 和 知识 对 过 程 进行 调整 和 修改 以 应 对 未 预计 的 局 面 和 处 理 非 预期 的 失效 。 

系统 ST1 是 组 织 中 一 系列 社会 技术 系统 中 的 一 个 。 如 果 该 系统 操作 人 员 无 法 处 置 一 个 
技术 系统 失效 ,那么 这 可 能 会 导致 社会 技术 系统 STI 中 的 失效 。 于 是 ， 组织 层 的 管理 人 员 
必须 发 现 该 问题 并 采取 措施 来 进行 恢复 。 因 此 ， 韦 性 既是 一 个 组 织 特 性 也 是 一 个 系统 特性 。 

Hollnagel ( Hollnagel 2010) 是 韧性 工程 的 一 个 早期 倡导 者 ,他 强调 从 成 功 以 及 失败 中 
进行 研究 和 学 习 对 于 组 织 而 言 十 分 重要 。 高 调 宣 传 安全 和 信息 安全 失效 可 以 引发 关注 ， 并 导 
致 实践 方式 和 规程 的 改变 。 然 而 ， 与 应 对 失效 相 比 ， 更 好 的 办 法 是 通过 观察 人 们 如 何 应 对 
问题 并 保持 韧性 来 避免 失效 。- 这 样 的 话 ， 这 一 恨 好 的 实践 可 以 在 整个 组 织 范 围 内 进行 传播 。 
图 14-4 描述 了 Hollnagel 所 提出 的 反映 一 个 组 织 韧 性 的 4 点 特性 。 这 些 特 性 如 下 。 

1. 应 对 能 力 。 组 织 必须 能 够 根据 风险 对 自己 的 过 程 和 规程 进行 适应 性 调整 。 这 些 风险 可 
以 是 预测 到 的 风险 ， 或 者 是 已 发 现 的 针对 组 织 及 其 系统 的 威胁 。 例 如 ， 如 果 一 个 新 的 信息 安 
全 威胁 被 发 现 并 公布 ,一 个 韧性 组 织 能 够 快速 做 出 改变 以 使 得 该 威胁 不 会 干扰 组 织 的 运行 。 

2. 监控 能 力 。 组 织 应 当 针 对 各 种 威胁 监控 自身 的 内 部 运行 以 及 外 部 环境 。 例 如 ， 一 家 企 
业 应 当 监 控 其 雇员 遵循 信息 安全 政策 的 情况 如 何 。 如 果 发 现 潜在 的 不 安全 行为 ,那么 企业 应 
当做 出 反应 ， 采 取 行 动 来 搞 清 楚 为 什么 会 发 生 这 些 行为 并 改变 雇员 的 行为 。 

3. 预见 能 力 。 一 个 韧性 组 织 不 能 仅仅 关注 当前 的 运行 ， 还 应 当 对 未 来 可 能 发 生 的 影 啊 组 
织 运 行 及 其 韧性 的 事件 和 变化 进行 预见 。 这 些 事 件 可 能 包括 技术 创新 、 相 关 法 规 的 变化 、 客 
户 行 为 的 变化 等 。 例 如 ， 可 穿戴 技术 开始 变 得 实用 ， 企 业 现 在 应 当 考 虑 这 一 技术 会 如 何 影响 
企业 当前 的 信息 安全 政策 和 规程 。 

4. 学 习 能 力 。 组 织 的 韧性 可 以 通过 从 经 验 中 学 习 来 提高 。 尤 其 重要 的 是 从 对 不 利 事件 的 
成 功 处 置 (例如 对 网 络 攻 击 的 成 功 防御 ) 中 进行 学 习 。 从 成 功 中 进行 学 习 使 得 好 的 实践 可 以 
在 整个 组 织 内 得 到 传播 。 
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图 14-4 韧性 组 织 的 特性 











如 Hollnagel 所 谤 ， 想 要 成 为 韧性 组 织 就 必须 在 某 程度 上 解决 所 有 这 些 问 题 。 有 些 组 织 
可 能 会 更 加 关注 某 一 个 质量 。 例 如 ， 一 家 运行 一 个 大 规模 数据 中 心 的 企业 可 能 最 关注 监控 和 
应 对 能 力 。 而 一 个 管理 长 期 档案 信息 的 数字 图 书馆 可 能 必须 预见 到 未 来 的 变化 会 如 何 影响 其 
业务 以 及 应 对 任何 直接 的 信息 安全 威胁 。 


14.2.1 人 为 错误 


杨 性 工程 的 早期 工作 关注 于 ， 安 全 关键 系统 中 的 事故 以 及 操作 人 员 的 行为 如 何 导致 安全 
相关 的 系统 失效 。 由 此 引发 的 对 于 系统 防御 的 理解 同样 适用 于 需要 抵挡 恶意 的 以 及 偶然 的 人 
为 动作 的 系统 。 

我 们 知道 人 会 犯错 ， 并 且 除 非 系统 是 完全 自动 化 的 ， 否 则 用 户 和 系统 操作 人 员 有 时 会 不 
可 避免 地 做 错 事 情 。 不 幸 的 是 ， 这 些 人 为 错误 有 时 会 导致 严重 的 系统 失效 。Reason(Reason， 
2000 ) 认为 人 为 错误 的 问题 可 以 通过 以 下 两 种 角度 来 理解 。 

1. 人 的 角度 。 错 误 被 认为 是 个 人 的 责任 ,“ 不 安全 的 动作 ”( 例 如 一 个 操作 人 员 未 能 采用 
一 个 安全 性 屏障 ) 是 个 人 的 疏 忽 或 粗心 大 意 的 行为 造成 的 后 果 。 持 这 种 观点 的 人 们 认为 ， 人 
为 错误 可 以 通过 纪律 处 分 的 威慑 力 、 更 加 严格 的 规程 、 加 强 训练 等 来 减少 。 他 们 的 观点 是 ， 
错误 是 对 犯错 负责 的 个 人 的 过 失 。 

2. 系统 的 角度 。 基 本 的 假设 是 人 是 不 可 靠 的 并 且 会 犯错 。 人 们 犯错 是 因为 : 他 们 由 于 高 强 
度 的 工作 负担 而 感到 压力 ， 他 们 未 受到 良好 的 培训 ， 或 者 不 合适 的 系统 设计 。 好 的 系统 应 当 认 
识 到 人 为 错误 的 可 能 性 并 内 置 相 关 的 屏障 (barrier) 和 保护 措施 以 发 现 人 为 错误 ， 并 且 系 统 可 
以 在 失效 之 前 进行 恢复 。 当 一 个 失效 发 生 后 ， 避 免 其 再 次 发 生 最 好 的 办 法 是 思考 系统 的 防护 措 
施 如 何以 及 为 什么 未 能 阻止 错误 发 生 。 责 备 和 惩罚 触发 失效 的 人 无 益 于 长 期 的 系统 安全 。 

笔者 认为 系统 的 角度 是 正确 的 观点 ， 系 统 工程 师 应 当 假设 系统 运行 过 程 中 人 为 销 误 总 是 
会 发 生 。 因 此 ， 为 了 提高 一 个 系统 的 性 ， 设 计 者 必须 考虑 针对 人 为 错误 的 防护 和 屏障 ， 并 
将 其 作为 系统 的 一 部 分 。 他 们 还 应 当 考 虑 是 否 应 当 将 这 些 屏障 构造 到 系统 的 技术 构件 中 。 如 
果 不 可 行 ， 那 么 可 以 将 这 些 屏 障 作 为 系统 使 用 过 程 、 规 程 以 及 指南 的 一 部 分 。 例 如 ， 要 求 两 
个 操作 人 员 来 检查 关键 性 系统 的 输入 。 

针对 人 为 错误 的 屏障 和 防护 措施 可 以 是 技术 性 的 也 可 以 是 社会 技术 性 的 。 例 如 ， 对 所 有 
的 输入 进行 确认 的 代码 是 一 种 技术 性 的 防护 ; 针对 关键 性 系统 的 更 新 所 制定 的 要 求 两 个 人 来 
确认 更 新 的 审批 规程 是 一 种 社会 技术 性 的 防护 。 使 用 多 样 性 的 屏障 意味 着 出 现 同样 漏洞 的 可 
能 性 会 降低 ， 而 用 户 错误 更 有 可 能 在 系统 失效 前 得 到 处 置 。 

总 的 来 说 ， 应 该 使 用 元 余 和 多 样 性 来 构建 一 组 防护 层 ( 见 图 14-5 )， 其 中 每 一 层 都 使 用 
不 同 的 方法 来 防止 攻击 者 或 者 处 置 构件 失效 或 人 为 错误 。 深 蓝 色 的 屏障 是 软件 检查 ; 浅 蓝 色 
屏障 是 由 人 来 执行 的 检查 。 
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， ”下面 是 一 个 这 种 深度 防护 方法 的 例子 。 作 为 一 个 空中 交通 管制 系统 中 一 部 分 的 管制 人 
员 ， 对 其 人 为 错误 的 检查 包括 如 下 这 些 方面 。 

1. 将 碰撞 警报 作为 空中 交通 管制 系统 的 一 部 分 。 当 一 个 管制 人 员 指 示 一 架 飞 机 改变 速度 
或 高 度 ， 系 统 对 其 轨迹 进行 判断 以 确定 这 加 飞机 与 其 他 飞机 的 轨迹 是 否 会 交叉 。 如 果 是 的 话 
则 要 啊 起 警报 。 

2. 正式 的 空中 交通 管理 的 记录 规程 。 空 中 交通 管制 系统 通过 一 个 清晰 定义 的 规程 来 规定 
如 何 记录 发 给 飞机 的 所 有 控制 指令 。 这 些 规程 有 助 于 管制 人 员 来 检查 他 们 是 否 正 确 地 发 出 了 
指令 并 且 让 其 他 人 可 以 看 到 这 些 信息 并 进行 检查 。 

3. 协作 检查 。 空 中 交通 管制 包含 一 个 管制 人 员 团 队 ， 他 们 不 断 地 相互 检查 别人 的 工作 。 
当 一 个 管制 人 员 犯 错时 ， 其 他 管制 人 员 通 常会 在 事件 发 生 之 前 发 现 并 纠正 问题 。 

Reason ( Reason 2000 ) 借鉴 了 关于 人 为 错误 如 何 导致 系统 失效 的 理论 中 的 防护 层 的 思 
想 。 他 引入 了 所 谓 的 “瑞士 奶酪 模型 "， 该 模型 认为 防护 层 并 不 是 坚固 的 屏障 而 是 像 瑞 士 奶 
酷 的 切片 一 样 。 有 些 类 型 的 瑞士 奶酪 (例如 埃 曼 塔 尔 奶酪 ) 上 面 有 些 大 小 不 同 的 “孔洞 ”。 
Reason 认为 漏洞 或 者 他 所 称 的 这 些 层 上 的 潜在 隐患 与 这 些 “ 孔 润 ” 很 相似 。 

这 些 潜 在 隐患 不 是 静态 的 一 一 它们 会 随 着 系统 的 状态 以 及 参与 系统 运营 的 人 的 不 同 而 发 
生变 化 。 继 续 我 们 的 瑞士 奶 栈 类比， 那些 “孔洞 ”会 在 系统 运行 期 间 改 变 大 小 并 在 防护 层 上 
发 生 移 动 。 例 如 ， 如 果 一 个 系统 依赖 于 操作 人 员 相 互 检查 别人 的 工作 ， 那 么 一 个 可 能 的 漏洞 
是 他 们 会 犯 相 同 的 错误 。 这 在 常规 情况 下 不 太 会 发 生 ， 因 此 在 瑞士 奶 酷 模型 中 这 些 “ 了 和 孔洞 ” 
比较 小 。 然 而 ， 当 系统 的 负载 很 高 、 两 个 操作 人 员工 作 量 都 很 大 的 时 候 ， 他 们 犯错 的 可 能 性 
会 增加 。 此 时 表示 这 些 漏洞 的 “孔洞 ”会 变 大 。 

之 有 分 层 防 护 的 系统 可 能 会 在 一 些 可 能 导致 破坏 的 外 部 触发 事件 发 生 时 出 现 失效 。 该 事 
件 可 能 是 人 为 错误 (Reason 称 之 为 主动 失效 )， 也 可 以 是 网 络 攻击 。 如 果 所 有 的 防护 屏障 都 
失效 ， 那 么 系统 整体 就 会 失效 。 从 概念 上 讲 ， 这 一 点 对 应 于 排列 在 一 起 的 瑞士 奶酪 切片 上 的 
“孔洞 "(如 图 14-6 Aras). 
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图 14-5 ”防护 层 图 14-6 Reason 的 系统 失效 瑞士 奶酪 模型 


该 模型 提出 可 以 用 下 面 这 些 不 同 的 策略 来 提高 系统 面 对 不 利 的 外 部 事件 的 韧性 。 

1. 降低 可 能 触发 系统 失效 的 外 部 事件 发 生 的 概率 。 为 了 减少 人 为 错误 ， 可 以 对 操作 人 员 
进行 更 好 的 培训 ， 或 者 更 好 地 控制 操作 人 员 的 工作 负担 以 保证 他 们 不 会 负担 过 重 。 为 了 减少 
网 络 攻击 ， 可 以 减少 拥有 系统 特权 信息 的 人 的 数量 ， 从 而 减少 向 攻击 者 暴露 信息 的 机 会 。 

2. 增加 防护 层 的 数量 。 一 个 通用 法 则 是 ， 在 系统 中 的 防护 层 越 多 ， 这 些 层 上 的 “孔洞 ” 
正好 对 齐 并 导致 系统 失效 的 可 能 性 越 低 。 然 而 ， 如 果 这 些 防护 层 之 间 不 独立 ,那么 它们 可 能 
会 都 有 同样 的 漏洞 。 这 样 的 话 ， 那 些 防护 层 就 很 有 可 能 在 同样 的 位 置 上 有 同样 的 “孔洞 ”， 
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因此 增加 新 的 层 的 好 处 很 有 限 。 

3. 设计 系统 时 将 各 种 不 同类 型 的 屏障 包含 其 中 。 这 意味 着 那些 “孔洞 ”很 大 程度 上 会 位 
于 不 同 的 位 置 ， 因 此 这 些 “ 孔 洞 ”正好 对 齐 并 导致 无 法 处 理 某 个 错误 的 可 能 性 会 降低 。 

4. 尽 可 能 减少 系统 中 潜在 隐患 的 数量 。 这 意味 着 可 以 有 效 减 少 系 统 “ 孔 洞 ” 的 数量 和 大 
小 。 然 而 ， 这 可 能 会 极 大 地 增加 系统 王 程 的 成 本 。 减 少 系统 中 缺陷 (bug) 的 数量 会 增加 测 
试 以 及 验证 /确认 (V&V) 成 本 。 因 此 ， 这 一 选项 在 成 本 效益 上 可 能 并 不 好 。 

在 设计 系统 时 ， 需 要 考虑 所 有 这 些 选项 ， 并 针对 哪 一 个 系统 防护 改进 手段 的 成 本 效益 最 
好 做 出 选择 。 如 果 你 在 构建 定制 化 软件 ， 那 么 使 用 软件 检查 来 增加 防护 层 的 数量 和 多 样 性 可 
能 是 最 佳 选 择 。 然 而 ， 如 果 你 在 使 用 成 品 软件 ， 那 么 可 能 不 得 不 考虑 增加 社会 技术 防护 手段 。 
你 可 以 决定 修改 培训 规程 来 降低 发 生 问 题 的 可 能 性 ， 并 使 得 问题 发 生 时 的 处 理 更 加 容易 。 


14.2.2 ”运行 和 管理 过 程 


所 有 的 软件 系统 都 有 与 之 相关 的 反映 设计 者 关于 系统 使 用 方式 的 假设 的 运行 过 程 。 有 些 
软件 系统 ， 特 别 是 那些 控制 特殊 设备 或 者 与 之 存在 接口 的 软件 系统 ， 都 将 受过 训练 的 操作 人 员 
作为 控制 系统 的 固有 部 分 。 在 系统 设计 阶段 要 决定 哪些 功能 应 该 作为 技术 系统 的 一 部 分 ， 哪 些 
功能 应 该 属于 操作 人 员 的 职责 。 例 如 ， 在 一 个 医院 的 影像 系统 中 ， 操 作 人 员 可 能 具有 在 图 像 处 
理 完 之 后 立即 检查 图 像 质量 的 职责 。 这 一 检查 使 得 出 现 问题 的 时 候 可 以 重复 一 次 成 像 过 程 。 

运行 过 程 是 按照 预定 目的 使 用 系统 的 过 程 。 例 如 ， 空 中 交通 管制 系统 的 操作 人 员 在 飞机 
进入 和 离开 空域 、 改 变 高 度 或 速度 、 出 现 紧急 状况 等 情况 下 都 要 遵循 相关 的 过 程 。 对 于 新 系 
统 而 言 ， 它 们 的 运行 过 程 必须 在 系统 开发 过 程 中 进行 定义 和 文档 化 。 还 可 能 要 对 操作 人 员 进 
行 培训 并 对 其 他 工作 过 程 进行 调整 ， 以 使 得 新 系统 可 以 得 到 有 效 的 使 用 。 

然而 ， 对 于 大 多 数 软件 系统 而 言 ， 没 有 受过 训练 的 操作 人 员 ， 但 是 有 系统 用 户 ， 这 些 用 
户 使 用 系统 作为 他 们 工作 的 一 部 分 或 者 支持 他 们 的 个 人 兴趣 。 对 于 个 人 化 系统 ,设计 者 可 以 
描述 期 望 的 系统 使 用 方式 但 却 无 法 控制 用 户 实际 上 如 何 使 用 。 然 而 ， 对 于 企业 IT 系统 而 言 ， 
可 以 通过 用 户 培训 来 教授 他 们 如 何 使 用 系统 。 虽 然 用 户 行 为 不 可 控 ， 但 可 以 合理 地 期 望 他 们 
一 般 都 会 遵循 既定 的 过 程 。 

企业 IT 系统 通常 还 会 有 负责 系统 维护 的 系统 管理 人 员 。 虽 然 他 们 不 属于 系统 所 文 持 的 
业务 过 程 的 一 部 分 ， 但 是 他 们 的 工作 是 监控 软件 系统 的 错误 和 问题 。 如 果 发 生 问 题 ， 系 统管 
理 人 员 采 取 行 动 来 解决 问题 并 将 系统 恢复 为 正常 运行 状态 。 

在 此 之 前 ， 讨 论 了 深度 防护 以 及 使 用 多 样 化 的 机 制 来 检查 可 能 导致 系统 失效 的 不 利 事件 
的 重要 性 。 运 行 和 管理 过 程 是 一 种 重要 的 防护 机 制 ， 在 设计 过 程 时 需要 在 高 效 的 运行 和 问题 
管理 之 间 寻 求 一 种 平衡 。 如 图 14-7 所 示 ， 它 们 经 常 有 冲突 ， 因 为 提高 效率 需要 降低 系统 的 
元 余 度 和 多 样 性 。 


高 效 的 过 程 运行 


过 程 优化 和 控制 过 程 灵活 性 和 适应 性 


信息 隐藏 和 信息 安全 信息 共享 和 可 见 性 
通过 自动 化 来 降低 操作 人 员工 作 负 担 ， 并 减 | 通过 人 工 过 程 以 及 备用 的 操作 人 员 / 管理 人 员 能 力 
少 操作 人 员 和 管理 人 员 数 量 来 应 对 问题 


角色 专业 化 


图 14-7 效率 和 和 韧性 
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在 过 去 的 25 年 中 ,很 多 人 关注 所 谓 的 过 程 改进 。 为 了 提升 运行 和 管理 过 程 的 效率 ， 企 
业 研 究 他 们 的 过 程 执 行情 况 并 寻找 特别 高 效 和 低 效 的 实践 。 对 高 效 的 实践 进行 编纂 和 文档 
化 ， 还 可 能 会 开发 软件 来 支持 这 一 “最 优 的 ”过 程 。 低 效 的 实践 被 更 加 高 效 的 做 事情 的 方 
式 所 取代 。 有 时 候 还 会 引入 过 程控 制 机 制 来 保证 系统 操作 人 员 和 管理 人 员 遵 循 这 一 “最 佳 
实践 "。 

过 程 改进 的 问题 是 它 经 常 使 人 更 难处 理 问题 。 有 些 看 起 来 “ 低 效 ”的 实践 经 常 是 因为 
人 们 想 要 保持 元 余 的 信息 或 共享 信息 ， 因 为 他 们 知道 这 会 使 出 现 问题 时 应 对 起 来 更 容易 。 例 
如 ， 空 中 交通 管制 人 员 也 可 以 依赖 航班 数据 库 打 印 航班 详细 信息 ， 因 为 这 样 的 话 ， 即 使 系统 
数据 库 不 可 用 他 们 也 有 航班 的 信息 。 

人 具有 有 效应 对 非 预 期 情形 的 独特 能 力 ， 即 使 他 们 从 来 都 没有 应 对 这 类 情形 的 直接 经 
验 。 因 此 ， 当 出 问题 时 ， 操 作 人 员 和 系统 管理 人 员 经 常 可 以 恢复 正常 运行 ， 虽 然 他 们 有 时 可 
能 会 打破 常规 并 使 用 一 些 “ 变 通 ”的 过 程 。 因 此 ， 应 该 将 运行 过 程 设计 得 具有 灵活 性 和 适应 
性 。 运 行 过 程 不 应 该 约束 太 多 ， 不 应 该 要 求 按照 某 种 顺序 执行 操作 ， 而 系统 软件 不 应 该 依赖 
于 对 特定 过 程 的 遵循 。 

例如 ， 一 个 应 急 服务 控制 室 系 统 被 用 于 管理 应 急 呼 叫 以 及 对 这 些 呼 叫 的 应 答 。 处 理 一 个 
呼叫 的 “常规 ”过 程 是 记录 呼叫 者 的 详细 信息 ， 然 后 向 相应 的 应 急 服务 发 送 一 条 消息 并 提供 
事件 的 详细 信息 和 地 址 。 这 一 规程 提供 了 所 采取 的 行动 的 审计 轨迹 。 随 后 的 调查 可 以 检查 应 
急 呼 叫 是 否 得 到 了 适当 的 处 理 。 

现在 设想 该 系统 受到 了 拒绝 服务 攻击 ， 这 使 得 消息 系统 不 可 用 。 操 作 人 员 并 没有 简单 地 
忽略 这 些 呼 叫 ， 而 是 使 用 他 们 自己 的 个 人 移动 电话 以 及 他 们 对 于 应 急 服务 的 知识 来 直接 呼叫 
相应 的 应 急 服务 单位 ， 使 得 他 们 可 以 及 时 响应 严重 的 事故 。 

信息 的 管理 和 提供 对 于 韧性 运行 也 是 很 重要 的 。 为 了 使 一 个 过 程 更 加 高 效 ， 有 必要 在 操 
作 人 员 需 要 的 时 候 提 供 他 们 所 需要 的 信息 。 从 信息 安全 的 角度 看 ， 除 非 操作 人 员 或 管理 人 员 
需要 相关 信息 ， 和 否则 不 应 该 允许 访问 这 些 信息 。 然 而 ， 更 加 自由 的 信息 访问 方法 可 以 改进 系 
统 的 韧性 。 

如 果 操 作 人 员 只 能 得 到 过 程 设计 者 认为 他 们 “需要 知道 ”的 信息 ， 那 么 他 们 可 能 无 法 发 
现 那 些 不 直接 影响 他 们 手头 任务 的 问题 。 当 问题 出 现时 ， 系 统 操作 人 员 无 法 获得 对 于 系统 中 
所 发 生 的 事情 的 全 面 了 解 ， 因 此 他 们 更 加 难以 制定 问题 处 理 的 策略 。 如 果 他 们 由 于 信息 安全 
的 原因 无 法 访问 系统 中 的 一 些 信息 ,那么 他 们 可 能 无 法 阻止 攻击 并 修复 已 导致 的 破坏 。 

自动 化 系统 管理 过 程 意味 着 一 个 管理 人 员 可 能 就 能 管理 大 量 的 系统 。 自 动 化 系统 可 以 发 
现 通用 的 问题 并 采取 行动 以 使 系统 从 问题 中 恢复 。 系 统 运行 和 管理 所 需 的 人 更 少 ， 因 此 成 本 
可 以 降低 。 然 而 ， 过 程 自动 化 有 如 下 两 个 不 利之 处 。 

1. 自动 化 的 管理 系统 可 能 会 出 错 并 采取 不 正确 的 动作 。 随 着 问题 的 发 展 ， 系 统 可 能 会 采 
取 意 想不到 的 动作 ， 系 统管 理 人 员 无 法 理解 这 些 动作 ， 而 且 会 使 得 情况 变 得 更 糟糕 。 

2. 协作 过 程 中 的 问题 解决 。 如 果 管 理 人 员 很 少 ， 那 么 制定 问题 或 网 络 攻击 恢复 策略 的 时 
间 很 可 能 会 更 长 。 

因此 ， 过 程 自 动 化 对 于 系统 韧性 可 能 既 有 正面 的 影响 又 有 负面 的 影响 。 如 果 自 动 化 系统 
正常 工作 ， 那 么 它 可 以 发 现 问题 ， 在 需要 的 时 候 调 用 网 络 攻击 防御 手段 ， 并 启动 自动 的 恢复 
过 程 。 然 而 ， 如 果 自 动 化 系统 无 法 处 理 问题 ， 应 对 问题 的 人 会 不 够 ， 而 系统 可 能 会 被 做 出 错 
误 动 作 的 过 程 自 动 化 所 破坏 。 
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所 有 这 些 不 同 的 系统 可 能 并 不 现实 。 因 此 ， 个 人 专业 化 可 以 使 得 他 们 成 为 一 小 部 分 系统 的 专 
Ko AFAI ERARI, BEZI RR EA re i 

角色 专业 化 的 问题 是 ， 在 某 个 特定 时 间 点 可 能 没 人 理解 系统 之 间 的 交互 。 其 结果 是 ， 如 
果 专 家 不 在 那么 就 很 难 应 对 问题 。 如 果 人 们 同时 在 多 个 系统 上 工作 ， 那 么 他 们 可 以 理解 系统 
之 间 的 依赖 和 关系 ， 因 此 也 就 可 以 处 理 影 响 多 个 系统 的 问题 。 如 果 没 有 专家 ， 处 理 问题 以 及 
修复 问题 所 导致 的 破坏 会 变 得 困难 得 多 。 

如 第 13 鞋 中 所 提 到 的 ， 可 以 使 用 风险 评估 来 帮助 你 做 出 过 程 效率 和 梓 性 之 间 的 平衡 决 
策 。 考 虑 所 有 可 能 需要 操作 人 员 或 管理 人 员 进 行 干预 的 地 方 所 蕴含 的 风险 ， 评 佑 这些 风险 的 
可 能 性 以 及 可 能 导致 的 损失 的 程度 。 对 于 可 能 导致 严重 破坏 以 及 大 量 损失 的 风险 以 及 很 可 能 
会 发 生 的 风险 ， 应 该 更 加 强调 韧性 而 不 是 过 程 效 率 。 


14.3 ”韧性 系统 设计 


韧性 系统 可 以 防御 不 利 的 事件 (例如 ， 软 件 失 效 和 网 络 攻 击 ) 并 从 中 恢复 。 它 们 以 最 小 
的 干扰 提供 关键 性 服务 ， 并 在 问题 发 生 后 快速 恢复 正常 运行 状态 。 在 设计 一 个 韧性 系统 时 ， 
必须 假设 系统 失效 或 者 攻击 者 入 侵 会 发 生 ， 必 须 考虑 通过 元 余 以 及 多 样 性 的 特征 来 应 对 这 些 
不 利 事件 。 

韧性 系统 设计 包括 两 个 密切 相关 的 工作 流 。 

1. 识别 关键 性 服务 和 资产 。 关 键 性 服务 和 资产 是 那些 使 系统 可 以 满足 其 主要 目的 的 系统 
元 素 。 例 如 ， 一 个 系统 的 主要 目的 是 处 理 啊 应 紧急 呼叫 的 救护 车 派遣 以 使 得 需要 帮助 的 人 尽 
快 得 到 帮助 。 这 里 的 关键 性 服务 包括 接听 呼叫 并 派 遗 救护 车 进行 医疗 急救 。 其 他 服务 ， 例 如 
呼叫 日 志 记 录 以 及 救护 车 追踪 则 没 那么 重要 。 

2. 设计 支持 问题 发 现 、 防 御 、 恢 复 和 复原 的 系统 构件 。 例 如 ， 在 救护 车 派 遗 系统 中 ， 可 
能 要 包含 一 个 监控 者 定时 器 ( 见 第 12 章 ) 来 侦 测 系统 是 否 对 事件 没有 响应 。 操 作 人 员 可 能 
要 通过 硬件 令 牌 进行 身份 认证 以 防止 非 授 权 的 访问 。 如 果 系 统 失效 ， 那 么 呼叫 可 以 被 转移 到 
男 一 个 中 心 以 保持 基本 服务 的 正常 运行 。 可 能 要 在 不 同人 硬件 上 部 署 系统 数据 库 和 软件 的 拷贝 
以 使 得 系统 可 以 在 中 断 运 行 后 复原 。 

基本 的 发 现 、 防 御 、 恢 复 的 思想 是 Ellison 等 人 ( Ellison et al. 1999，2002 ) 在 韧性 工程 
中 的 早期 工作 的 基础 。 他 们 设计 了 一 种 分 析 方 法 ， 叫 作 可 生存 性 系统 分 析 (survivable 
system analysis)。 这 种 方法 被 用 于 评估 系 
统 中 的 漏洞 、 支 持 系 统 体 系 结构 以 及 提升 
系统 可 生存 性 的 特性 的 设计 。 

可 生存 性 系统 分 析 是 一 个 四 阶段 过 程 
(图 14-8 )， 该 过 程 分 析 当 前 或 者 所 提出 的 
系统 需求 和 体系 结构 ， 识 别 关 键 性 服务 、 | 
攻击 场景 以 及 系统 “脆弱 点 ”， 并 提出 改进 
系统 可 生存 性 的 手段 。 其 中 每 个 阶段 中 的 
关键 活动 如 下 : 


3. 识 别 攻击 以 及 
i 受 威胁 的 构件 
1. 系统 理解 。 对 于 一 个 已 有 的 或 所 提 


出 的 系统 ， 评 审 系 统 目 标 (有 时 称 为 使 命 图 14-8 可 生存 性 分 析 中 的 阶段 







1. 评 审 系统 需求 
和 体系 结构 


4. 识 别 脆弱 点 以 及 f 
可 生存 性 策略 f 





2. 识 别 关 键 性 1 
服务 和 构件 | 
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目标 )、 系 统 需 求 以 及 系统 体系 结构 。 

2. 关键 性 服务 识别 。 识 别 必须 永远 保持 的 服务 ， 以 及 维持 这 些 服务 所 需要 的 构件 。 

3. 攻击 模拟 。 识别 可 能 的 攻击 场景 或 用 况 ， 以 及 可 能 受到 这 些 攻击 影响 的 系统 构件 。 

4. 可 生存 性 分 析 。 识 别 重 要 的 并 且 受 到 威胁 的 构件 ， 基 于 问题 防御 、 发 现 和 恢复 来 识别 
可 生存 性 策略 。 

这 种 可 生存 性 分 析 方 法 的 根本 问题 是 ， 它 的 起 点 是 系统 的 需求 和 体系 结构 文档 。 这 一 点 
对 于 国防 系统 (美国 国防 部 资助 的 项 目 ) 可 能 是 合理 的 假设 , 但 对 于 业务 系统 而 言 存 在 以 下 
两 个 问题 。 

1 它 与 针对 初 性 的 业务 需求 并 不 是 明确 相关 的 。 笔者 认为 这 些 需求 比 技术 系统 需求 作为 
起 点 更 合适 。 

2. 它 假设 存在 详细 的 系统 需求 陈述 。 而 实际 上 ， 必 须 实现 韧 性 的 系统 可 能 没有 完整 的 或 
最 新 的 需求 文档 。 对 于 新 系统 而 言 ， 韦 性 自身 可 能 就 是 一 个 需求 ,或 者 系统 可 能 要 用 敏捷 方 
法 来 进行 开发 。 系 统 体系 结构 设计 可 以 考虑 韧性 。 

一 个 更 加 通用 的 韧性 工程 方法 (如 图 14-9 所 示 ) 考虑 了 缺少 详细 需求 ， 以 及 在 系统 中 明 
确 地 设计 恢复 和 复原 机 制 的 情况 。 对 于 一 个 系统 中 的 大 多 数 构件 ， 你 都 没有 它们 的 源 代码 也 
无 法 对 它们 进行 修改 。 你 的 韧性 策略 必须 在 考虑 这 些 限制 条 件 的 情况 下 进行 设计 。 


识别 业务 
DEER 
开发 软件 
规划 备份 策略 由 _>| 规 划 系统 复原 een 
提出 软件 变更 
识别 关键 识别 提供 识别 危害 规划 事件 
发 现 和 | 
mm fa eee 
— 购买 所 需 Y 
的 新 软件 
规划 关键 性 规划 关键 性 设计 资产 开发 软件 来 
服务 恢复 资产 恢复 元 余 策略 支持 资产 恢复 上 
测试 识别 攻击 
性 测试 规划 和 失效 场景 / 测试 系统 防御 和 > 测试 服务 恢复 
测试 系统 复原 


图 14-9 ”韧性 工程 


这 个 韧性 工程 方法 中 有 5 个 相互 关联 的 工作 流 。 

1. 识别 业务 韧性 需求 。 这 些 需 求 明 确 了 业务 作为 一 个 整体 如 何 保持 它 提 供给 客户 的 服 
务 ， 针 对 单个 系统 的 韧性 需求 将 会 在 此 基础 上 开发 得 到 。 实 现 韦 性 是 很 昂贵 的 ， 没 有 必要 对 
系统 万 性 进行 过 度 设 计 以 提供 不 必要 的 韧性 支持 。 
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2. 规划 如 何在 不 利 的 事件 发 生 后 将 一 个 或 一 组 系统 复原 为 它们 的 正常 运行 状态 。 这 一 规 
划 必 须 与 业务 的 常规 备份 和 归档 策略 (它们 可 以 支持 技术 性 错误 或 人 为 错误 后 的 信息 恢复 ) 
相 和 集成。 该 规划 还 应 该 成 为 更 大 范围 内 的 灾难 恢复 策略 的 一 部 分 。 必 须 考虑 物理 事件 (例如 
火灾 和 水 灾 ) 的 可 能 性 ， 并 考虑 如 何在 不 同 的 地 点 保存 关键 性 信息 。 可 以 决定 针对 该 规划 使 
用 云 备份 。 

3. 识别 可 能 危害 系统 的 失效 以 及 网 络 攻击 ， 并 且 设 计 相 应 的 发 现 和 韧性 策略 来 应 对 这 些 
不 利 事件 。 

4. 规划 如 何在 关键 性 服务 由 于 失效 或 网 络 攻 击 而 导致 破坏 或 下 线 后 对 其 迅速 恢复 。 这 一 
步骤 通常 包括 准备 这 些 服务 的 关键 性 资产 的 元 余 拷 贝 ， 并 在 需要 时 切换 到 这 些 拷贝 上 。 

5. 重要 的 是 ， 应 当 测 试 蔬 性 规划 的 所 有 方面 。 这 一 测试 包括 识别 失效 和 攻击 场景 ， 并 和 针 
对 系统 测试 这 些 场景 。 

保持 关键 性 服务 的 可 用 性 是 韧性 的 本 质 。 相 应 地 ， 你 必须 了 解 : 

e 对 于 业务 最 关键 的 系统 服务 ; 

o 必须 保持 的 最 低 的 服务 质量 ; 

e 这 些 服务 将 如 何 受 到 危害 ; 

o 这 些 服务 可 以 如 何 进 行 保护 ; 

© 如 果 服 务 不 可 用 ， 那 么 该 如 何 快 速 恢 复 它们 。 

作为 关键 性 服务 分 析 的 一 部 分 ， 必 须 识 别 那些 对 于 提供 这 些 服务 起 着 关键 作用 的 系统 
资产 。 这 些 资 产 可 以 是 硬件 (服务 右 、 网 络 等 )、 软 件 、 数 据 和 人 。 为 了 构建 一 个 韧性 系统 ， 
必须 考虑 如 何 使 用 元 余 和 多 样 性 来 保证 这 些 资 产 在 系统 失效 时 也 能 保持 可 用 性 。 

对 于 所 有 这 些 活动 ， 提 供 不 利 事件 发 生 后 的 快速 响应 和 恢复 计划 的 关键 是 ， 有 额外 的 软 
件 来 支持 防御 、 恢 复 和 复原 。 这 些 软 件 可 以 是 商业 的 信息 安全 软件 ， 或 者 是 在 应 用 软件 中 编 
程 实现 的 韧性 支持 ， 其 中 还 可 能 包括 用 于 恢复 和 复原 的 脚本 以 及 特别 编写 的 程序 。 如 有 果 你 有 
正确 的 支持 软件 ， 恢 复 和 复原 过 程 可 以 部 分 自动 化 并 在 系统 失效 后 被 快速 调用 和 执行 。 

蔬 性 测试 包括 模拟 可 能 的 系统 失效 和 网 络 攻击 来 测试 所 制订 的 韧性 计划 是 否 按照 预期 工 
作 。 测试 很 重要 ， 因 为 我 们 从 经 验 中 知道 韧性 规划 过 程 中 所 做 的 假设 经 常 是 不 正确 的 ， 而 且 
所 规划 的 行动 并 不 总 能 起 到 作用 。 针 对 韧性 的 测试 可 以 揭示 这 些 问 题 ， 从 而 使 得 韧性 计划 可 
以 得 到 细 化 。 

测试 可 能 非常 困难 和 昂贵 ， 因 为 很 显然 测试 不 能 在 一 个 运行 系统 上 进行 。 系 统 及 其 环境 
可 能 要 被 复制 用 于 测试 ， 而 工作 人 员 可 能 不 得 不 从 他 们 的 常规 职责 中 脱身 出 来 ， 以 便 在 测试 
系统 上 工作 。 为 了 降低 成 本 ,可 以 使 用 “ 豆 面 测试 ”。 测 试 团队 假设 问题 已 经 发 生 ， 测 试 他 
们 对 于 问题 的 反应 ; 他 们 并 不 会 在 真实 系统 上 模拟 问题 。 虽 然 这 种 方法 可 以 提供 关于 系统 万 
性 的 有 用 信息 ， 但 它 在 发 现 蔬 性 规划 中 的 不 足 方面 不 如 测试 那么 有 效 。 

作为 该 方法 的 一 个 例子 ， 让 我 们 看 一 下 针对 Mentcare 系统 的 韧性 工程 。 回 顾 一 下 ， 这 
个 系统 支持 临床 医生 在 不 同 的 地 点 处 置 有 心理 健康 问题 的 病人 。 该 系统 为 医生 和 专科 护士 提 
供 病 人 信息 以 及 诊疗 记录 。 该 系统 包括 一 些 检查 ， 可 以 标记 出 一 些 可 能 具有 潜在 危险 或 自杀 
倾向 的 病人 。 图 14-10 描述 了 该 系统 的 体系 结构 。 

医生 和 护士 在 诊疗 之 前 以 及 过 程 中 使 用 该 系统 ， 诊 疗 结束 后 病人 信息 会 进行 更 新 。 为 了 
确保 临床 有 效 性 ， 其 中 的 业务 韧性 需求 是 关键 性 的 系统 服务 要 在 常规 工作 时 间 保 持 可 用 ， 系 
统 失效 或 网 络 攻击 不 会 导致 病人 数据 永久 损坏 或 丢失 ， 病 人 信息 不 应 该 开放 给 未 授权 的 人 。 
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该 系统 中 有 两 个 关键 性 服务 必须 保持 。 

1. 一 个 信息 服务 ， 提 供 关 于 一 个 病人 当 
前 诊断 和 治疗 计划 的 信息 。 

2. 一 个 警告 服务 ， 特 别 指出 可 能 对 他 人 
或 患者 自身 造成 危险 的 病人 。 

注意 关键 性 服务 并 不 是 完整 的 病人 记录 
的 可 用 性 。 医 生 和 护士 只 需要 偶尔 看 一 下 过 
去 的 治疗 记录 ， 因 此 如 果 完 整 记录 不 可 用 ， 
那么 临床 护理 并 不 会 受到 严重 影响 。 因 此 ， 
使 用 一 个 仅 包 含 病人 以 及 近期 治疗 信息 的 概 
述 记 录 可 能 就 能 提供 有 效 的 护理 。 

在 常规 系统 运行 中 提供 这 些 服务 所 需 的 Si 
资产 包括 图 14-10 Mentcare 系统 的 客户 - 服务 器 体系 结构 

1. 保存 所 有 病人 信息 的 病人 记录 数据 库 ; 

2. 为 本 地 客户 端 计 算 机 提供 数据 库 访 问 的 数据 库 服务 器 ; 

3. 客户 端 /服务 器 通信 所 用 的 网 络 ; 

4. 临床 医生 用 于 访问 病人 信息 的 本 地 笔记 本 或 桌面 计算 机 ; 

5. 识别 具有 潜在 危险 的 病人 并 标记 病人 记录 的 一 组 规则 ， 客 户 端 软件 向 系统 用 户 重点 提 
示 危 险 的 病人 。 

为 了 规划 发 现 、 防 御 和 恢复 策略 ， 需 要 开发 一 组 预见 到 可 能 危害 系统 所 提供 的 关键 性 服 
务 的 不 利 事件 的 场景 。 这 些 不 利 事件 的 例子 包括 : 

1. 由 于 系统 失效 、 网 络 失效 或 拒绝 服务 网 络 攻 击 造成 的 数据 库 服 务 器 不 可 用 ; 

2. 病人 记录 数据 库 或 定义 “危险 病人 ”含义 的 规则 的 故意 或 意外 损坏 ; 

3. 客户 端 计算 机 感染 恶意 软件 ; 

4. 未 授权 的 人 访问 客户 端 计算 机 并 获得 了 病人 记录 访问 权限 。 

图 14-11 摘 述 了 这 些 不 利 事件 可 能 的 发 现 和 防御 策略 。 注 意 这 些 不 仅仅 是 技术 方法 ， 还 
包括 面向 系统 用 户 介 绍 信 息 安 全 问题 的 培训 班 。 我 们 知道 许多 违反 信息 安全 的 行为 之 所 以 
出 现 ， 是 因为 用 户 无 意 中 辐 一 个 攻击 者 泄漏 了 特权 信息 ， 这 些 培 训 减 少 了 这 种 情形 发 生 的 机 
会 。 这 里 不 用 更 多 的 篇 幅 来 讨论 图 14-11 中 列 出 的 所 有 选项 ， 这 里 关注 如 何 通 过 修改 系统 体 
系 结构 使 系统 具有 更 好 的 韧性 。 

图 14-11 建议 ， 在 客户 端 计算 机 上 保存 病人 信息 是 一 种 可 以 帮助 维持 关键 性 服务 的 元 余 
策略 。 这 导致 了 图 14-12 中 所 示 的 修改 后 的 软件 体系 结构 。 该 体系 结构 的 关键 特性 包括 : 

1. 在 本 地 客户 端 计算 机 上 保存 概要 病人 记录 。 本 地 计算 机 相互 之 间 可 以 使 用 系统 网 络 或 
者 必要 时 使 用 移动 电话 创建 的 自 组 织 网 络 来 直接 通信 并 且 交 换 信 息 。 因 此 ， 如 果 数 据 库 不 可 
用 ,医生 和 护士 仍然 可 以 访问 重要 的 病人 信息 (防御 和 恢复 )。 

2. 主 服务 器 失效 后 的 备份 服务 器 。 该 服务 器 负责 定期 读 取 数据 库 的 快照 作为 备份 。 当 主 
服务 顺 失 效 时 ， 该 服务 器 也 可 以 面向 整个 系统 扮演 主 服务 器 。 这 一 点 保证 了 服务 的 持续 性 以 
及 服务 顺 失 效 后 的 恢复 (防御 和 恢复 )。 

3. 数据 库 完整 性 检查 和 恢复 软件 。 完 整 性 检查 作为 一 个 后 台 任 务 运行 ， 检 查 数据 库 损坏 
的 迹象 。 如 果 发 现 损 坏 ， 它 可 以 自动 启动 恢复 过 程 ， 从 备份 那里 恢复 一 些 或 全 部 数据 。 事 务 
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日 志 使 得 这 些 备份 可 以 根据 最 近 的 变化 的 详细 信息 进行 更 新 (发现 和 恢复 )。 


1. 使 用 客户 端 上 的 监控 者 定时 器 ， 如 果 
对 于 客户 端 访问 没有 响应 就 产生 超时 
2. 系统 管理 者 向 临床 用 户 发 送 文本 消息 


服务 器 不 可 用 


1. 记录 级 别 的 密码 校 验 
病人 数据 库 损坏 


客户 端 计算 机 感 


染 恶 意 软件 异常 的 行为 


2. 在 启动 时 进行 自动 的 恶意 软件 检查 


对 病人 信息 的 未 
授权 访问 


图 14-11 


2. 常规 的 数据 库 完整 性 自动 检查 
3. 问 系 统 报告 不 正确 的 信息 


1. 向 系统 报告 使 得 计算 机 用 户 能 够 报告 


1. 来自 用户 的 人 侵 警 告 文本 消息 
2. 针对 异常 活动 的 日 志 分 析 





1. 设计 系统 体系 结构 来 保存 关键 性 
信息 的 本 地 拷贝 

2. 提供 客户 端 之 间 病 人 数据 的 对 等 
(P2P) 搜索 

3. 为 工作 人 员 提 供 智 能 手机 ， 使 得 
他 们 可 以 在 服务 器 失效 时 使 用 手机 访 
问 网 络 

4. HELE MR tt 

1. 使 用 可 重 做 的 事务 日 志 来 更 新 数 
据 库 备份 ， 重 做 最 近 的 事务 

2. 保存 病人 信息 和 软件 的 本 地 拷贝 ， 
以 便 从 本 地 拷贝 和 备份 中 恢复 数据 库 
1. 面向 所 有 系统 用 户 进 行 信息 安全 
意识 培训 

2. 禁用 客户 端 计算 机 上 的 USB 端口 
3. 针对 新 客户 端 进行 自动 的 系统 启动 
4. 支持 使 用 移动 设备 访问 系统 

5. 安装 信息 安全 软件 

1. 多 级 的 系统 身份 认证 过 程 

2. 禁用 客户 端 计算 机 上 的 USB 端口 
访问 日 志 以 及 实时 的 日 志 分 析 

4. 面向 所 有 系统 用 户 进行 信息 安全 
意识 培训 


不 利 事件 的 发 现 和 防御 策略 


为 了 保持 病人 信息 访问 以 及 工作 人 员 和 警告 这 两 个 关键 性 服务 ， 我 们 可 以 利用 客户 /服务 
需 系 统 中 固有 的 元 余 性 。 通 过 在 一 次 临床 治疗 过 程 开 始 时 将 信息 下 载 到 客户 端 ， 诊 断 可 以 在 


不 访问 服务 需 的 情况 下 继续 进行 。 只 有 那 
些 安排 好 当天 进行 诊疗 的 病人 的 信息 需要 
下 载 。 如 果 需 要 访问 其 他 病人 的 信息 并 且 
服务 器 不 可 用 ， 那 么 可 以 通过 对 等 通信 联 
系 其 他 客户 端 计算 机 来 看 是 和 否 有 所 需要 的 
信息 。 

向 工作 人 员 提 供 危险 病人 警告 的 服务 
可 以 很 容易 地 用 这 种 方法 来 实现 。 可 能 危 
害 自己 或 他 人 的 病人 的 记录 在 下 载 过 程 之 
前 识别 出 来 。 当 医护 人 员 访 问 这 些 记 录 时 ， 
软件 可 以 突出 显示 这 些 记 录 以 提醒 这 些 病 
人 需要 特殊 照看 。 

该 体系 结构 中 支持 不 利 事 件 防御 的 特 
性 也 同样 支持 从 不 利 事件 中 的 恢复 。 通 过 
保存 多 个 信息 副本 并 且 使 用 备份 硬件 ， 关 


er 
客户 端 客户 端 Aar 
ce We Ho WERNER 







网 络 





数据 库 
病人 数据 库 完整 性 
丛 查 器 


图 14-12 Mentcare 系统 韧性 体系 结构 
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键 性 系统 服务 可 以 快速 恢复 正常 运行 。 因 为 系统 只 需要 在 常规 工作 时 间 ( 即 早上 8 时 到 晚上 
6 时 )， 该 系统 可 以 在 夜里 进行 复原 以 使 系统 在 失效 后 第 二 天 可 以 正常 使 用 。 

除了 保持 关键 性 服务 ， 保 持 病 人 数据 的 机 密 性 和 完整 性 的 业务 需求 也 必须 文 持 。 
图 14-12 中 所 显示 的 体系 结构 包括 一 个 备份 系统 和 专门 的 数据 库 完 整 性 检查 ， 以 便 减 少 病 人 
信息 意外 地 或 在 恶意 攻击 中 被 破坏 的 机 会 。 客 户 端 计算 机 上 的 信息 也 是 可 用 的 ， 可 以 支持 从 
数据 损坏 或 破坏 中 恢复 。 

尽管 保存 多 个 数据 拷贝 是 一 种 针对 数据 损坏 的 防护 手段 ， 它 对 于 机 密 性 而 言 是 一 种 风 
险 ， 因 为 所 有 这 些 拷贝 都 必须 保证 信息 安全 。 这 种 情况 下 ， 该 风险 可 以 通过 以 下 手段 进行 
控制 。 

1. 仅 下 载 那 些 将 要 进行 诊疗 的 病人 的 概要 记录 。 这 限制 了 可 能 受到 危害 的 记录 数量 。 

2. 加 密 本 地 客户 端 计算 机 上 的 磁盘 。 没 有 密 钥 的 攻击 者 即使 获得 了 客户 端 计算 机 的 访问 
权限 也 无 法 读 取 人 磁盘。 

3. 在 一 次 诊疗 过 程 结 束 后 安全 地 删除 所 下 载 的 信息 。 这 进一步 降低 了 攻击 者 获取 机 密 信 
息 的 可 能 性 。 

4. 确保 所 有 的 网 络 事务 都 是 加 密 的 。 如 果 攻 击 者 拦截 了 这 些 事务 ， 他 们 也 无 法 访问 这 些 
信息 。 

因为 对 性 能 有 影响 ， 对 整个 服务 器 上 的 病人 数据 库 加 密 很 有 可 能 是 不 现实 的 。 因 此 应 该 
使 用 很 强 的 验证 手段 来 保护 这 些 信息 。 


RA 


© 一 个 系统 的 韧性 是 对 该 系统 在 干扰 性 事件 (例如 ， 设备 失效 和 网 络 攻击 ) 发 生 时 能 够 
保持 系统 关键 性 服务 持续 提供 的 能 力 的 一 种 判断 。 

o HEM HIET 4R 模型 ， 即 发 现 ( recognition)、 防 御 (resistance)、 恢 复 (recovery), 
复原 (reinstatement) 。 

o 氢 性 规划 应 当 基 于 网 络 化 系统 会 遭 到 恶意 的 内 部 和 外 部 网 络 攻击 并 且 其 中 一 些 攻 击 
会 成 功 的 假设 。 | 

e 系统 设计 应 当 带 有 一 些 不 同类 型 的 防护 层 。 如 果 这 些 防 护 层 是 有 效 的 ， MAAN 
误 和 技术 失效 可 以 得 到 处 置 而 且 可 以 防御 网 络 攻 击 。 

e 为 了 允许 系统 操作 人 员 和 管理 人 员 应 对 问题 ， 过 程 应 当 具 有 灵活 性 和 适应 性 。 过 程 
目 动 化 可 能 会 让 人 更 难 应 对 问题 。 

e aS WE te KI SEARS ERITH. AS SAR SCE, ATE I) eel AC 
和 恢复 、 关 键 性 服务 和 资产 的 恢复 ， 以 及 系统 的 复原 。 

o 韧性 设计 的 一 个 重要 部 分 是 识别 关键 性 服务 ， 这 些 服务 对 于 系统 实现 其 主要 目的 十 
分 重要 。 系 统 设 计 应 该 使 得 这 些 服务 得 到 保护 并 且 在 发 生 失 效 时 尽快 恢复 。 


阅读 推荐 

《 Survivable Network System Analysis: A Case Study 》 是 一 篇 很 棒 的 论文 ;， 其 中 介绍 了 
系统 可 生存 性 的 思想 ， 并 使 用 了 一 个 心理 健康 记录 人 处理 系统 的 案例 研究 来 说 明 可 生存 性 方法 
的 应 用 。(R. J. Ellison, R.C. Linger, T. Longstaff, and N. R. Mead, IEEE Software, 16 (4), 
July/August 1999 ) http://dx.doi.org/10.1109/52.776952 
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《 Resilience Engineering in Practice: A Guidebook 》 是 一 些 关 于 采取 更 广泛 的 社会 技 
术 系 统 观点 的 韧性 工程 的 文章 和 案例 研究 。( E. Hollnagel, J. Paries, D. W. Woods, and J. 
Wreathall, Ashgate Publishing Co., 2011 ) 

« Cyber Risk and Resilience Management 》 是 一 个 有 大 量 关 于 网 络 安全 和 韧性 的 资源 的 
网 站 ， 包 括 一 个 韧性 管理 模型 。( Software Engineering Institute, 2013 ) https://www.cert.org/ 


resilience/ 
网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap14/ 
支持 视频 的 链接 :http://software-engineering-book.com/videos/security-and-resilience/ 


练习 


14.1 如 何 使 用 互补 的 发 现 、 防 御 、 恢 复 、 复 原 策 略 来 实现 系统 的 韧性 ? 

14.2 如何 使 用 元 余 和 多 样 性 来 提高 系统 防御 可 能 损坏 或 破坏 系统 资产 的 网 络 攻击 的 能 力 ? 

14.3 ”韧性 组 织 是 什么 意思 ? 解释 图 14-4 中 所 示 的 Hollnagel 模型 如 何 成 为 改进 组 织 韧性 的 
有 效 基 础 。 

14.4 一 个 医院 提出 引入 一 个 新 政策 ， 规 定 任何 医护 人 员 (医生 或 护士 ) 如 果 采 取 某 种 行 
或 授权 某 种 行为 导致 病人 受伤 那么 将 会 被 刑事 起 诉 ©。 解 释 为 什么 这 个 想法 很 糟糕 ， 
很 有 可 能 无 法 提高 病人 安全 性 。 为 什么 还 很 有 可 能 对 组 织 的 蔬 性 造成 负面 影响 ? 

14.5 ”针对 一 个 信息 系统 ， 提 出 可 以 包含 在 其 中 的 3 个 防护 层 ， 以 保护 数据 项 不 会 被 未 授权 
的 人 所 修改 。 

14.6 为 什么 过 程 不 灵活 会 限制 一 个 社会 技术 系统 防御 不 利 事 件 (例如 ， 网 络 攻 击 和 软件 失 
效 ) 以 及 从 中 恢复 的 能 力 ? 如 果 你 有 过 程 不 灵活 导致 问题 的 经 验 ， 利 用 你 的 经 验 举 出 
一 些 例子 来 说 明 你 的 答案 。 

14.7 说 一 说 图 14-9 中 所 提出 的 辜 性 工程 方法 如 何 与 系统 中 软件 的 敏捷 开发 过 程 相 结 合 一 
起 使 用 。 对 于 韧性 很 重要 的 系统 ， 使 用 敏捷 开发 会 出 现 什么 样 的 问题 ? 

148 在 13.4.2 节 中 ,已 经 发 生 了 : (1 ) 一 个 未 授权 用 户 下 恶意 订单 以 影响 价格 ;〈2 ) 一 次 
损坏 了 交易 数据 库 的 入 侵 。 对 于 其 中 每 一 个 网 络 攻击 ,说 一 说 可 以 使 用 的 防御 、 发 现 
和 恢复 策略 。 

14.9 图 14-11 提出 了 一 些 可 能 影响 Mentcare 系统 的 负面 事件 。 考 虑 一 个 针对 该 系统 的 测试 
计划 ， 确 定 如 何 测试 Mentcare 系统 发 现 、 防 御 这 些 负 面 事件 以 及 从 中 恢复 的 能 力 。 
14.10 ”一 家 公司 的 高 级 管理 人 员 担 心 对 公司 不 满 的 员工 会 针对 公司 的 信息 技术 资产 发 起 内 
部 攻击 。 作 为 一 个 韧性 改进 计划 的 一 部 分 ， 她 提出 要 引入 一 个 日 志 系 统 和 数据 分 析 
软件 来 捕捉 并 分 析 所 有 的 雇员 行为 ， 但 雇员 不 应 该 得 知 这 一 系统 的 存在 。 讨 论 引 入 

这 样 一 个 日 志 系 统 以 及 在 不 告诉 系统 用 户 的 情况 下 这 人 么 做 所 引发 的 道德 问题 。 


参考 文献 


Ellison, R. J., R. C. Linger, T. Longstaff, and N. R. Mead. 1999. “Survivable Network System Analysis: _ 
A Case Study.” /EEE Software 16 (4): 70-77. doi:10.1109/52.776952. 


Ellison, R. J., R. C. Linger, H. Lipson, N. R. Mead, and A. Moore. 2002. “Foundations of Survivable 


286 PED AA TRIP BES 


Systems Engineering.” Crosstalk: The Journal of Defense Software Engineering 12: 10-15. 
http://resources.sei.cmu.edu/asset_files/WhitePaper/2002_019_001_77700.pdf 


Hollnagel, E. 2006. “Resilience—the Challenge of the Unstable.” In Resilience Engineering: Concepts 
and Precepts, edited by E. Hollnagel, D. D. Woods, and N.G. Leveson, 9-18. 





. 2010. “RAG—The Resilience Analysis Grid.” In Resilience Engineering in Practice, edited by 
E. Hollnagel, J. Paries, D. Woods, and J. Wreathall, 275-295. Farnham, UK: Ashgate Publishing Group. 


InfoSecurity. 2013. “Global Cybercrime, Espionage Costs $100-$500 Billion Per Year.” http://www 
.infosecurity-magazine.com/view/33569/global-cybercrime-espionage-costs-100500-billion-per-year 


Laprie, J-C. 2008. “From Dependability to Resilience.” In 38th Int. Conf. on Dependable Systems and 
Networks. Anchorage, Alaska. http://2008.dsn.org/fastabs/dsno8fastabs_laprie.pdf 


Reason, J]. 2000. “Human Error: Models and Management.” British Medical J. 320: 768-770. 
doi:10.1136/bmj.320.7237.768. 


第 三 部 分 


Software Engineering, Tenth Edition 


局 级 软件 工程 





本 部 分 介绍 一 些 更 高 级 的 软件 工程 话题 。 在 阅读 这 些 章节 之 前 ， 需 要 读者 已 经 理解 了 第 
1 ~ 一 9 章 中 所 介绍 的 软件 工程 基础 知识 。 

第 15 一 18 章 关注 基于 Web 的 信息 系统 和 企业 系统 的 开发 中 处 于 主导 地 位 的 开发 范 
型 一 一 软件 复 用 。 第 15 章 介绍 了 这 个 话题 ， 并 解释 了 可 能 的 不 同类 型 的 复 用 ; 介绍 了 最 常 
用 的 复 用 方法 ， 即 应 用 系统 的 复 有 用， 这些 应 用 系统 按照 每 种 业务 的 特定 要 求 进行 配置 和 适应 
性 修改 。 

第 16 章 关 注 软 件 构 件 而 不 是 整个 软件 系统 的 复 用 。 这 一 章 解 释 了 构件 是 什么 以 及 为 什 
么 有 效 的 构件 复 用 需要 标准 的 构件 模型 ; 还 讨论 了 基于 构件 的 软件 工程 的 一 般 过 程 以 及 构件 
组 装 的 问题 。 

大 部 分 大 型 系统 现在 都 是 分 布 式 系统 ， 第 17 章 介 绍 了 构造 分 布 式 系统 的 问题 。 本 书 将 
客户 一 服务 器 方法 作为 一 种 基本 的 分 布 式 系统 工程 范 型 进行 了 介绍 ， 解 释 了 实现 这 种 体系 结 
构 风 格 的 各 种 方式 。 最 后 一 节 介 绍 了 软件 即 服务 (software as a service) 一 一 在 互联 网 上 交 
付 软 件 功 能 ， 它 已 经 改变 了 软件 产品 市 场 。 

第 18 章 介 绍 了 与 面向 服务 的 体系 结构 相关 的 话题 ， 它 将 分 布 式 和 复 用 的 思想 联系 在 一 
起 。 服 务 是 可 复 用 的 软件 构件 ， 其 功能 可 以 通过 互联 网 访问 。 讨 论 了 两 种 广泛 使 用 的 服务 开 
发 方法 ， 即 基于 SOAP 的 服务 以 及 RESTful 服务 ， 解 释 了 创建 服务 (服务 工程 ) 和 组 装 服务 
以 创建 新 的 软件 系统 的 过 程 中 所 包含 的 内 容 。 

第 19 一 21 章 的 关注 点 是 系统 工程 。 在 第 19 章 中 ,介绍 了 该 话题 并 解释 了 为 什么 软件 
工程 师 理解 系统 工程 是 很 重要 的 ; 讨论 了 系统 工程 生命 周期 以 及 该 生命 周期 中 采购 的 重要 性 。 

第 20 章 介 绍 了 系统 之 系统 (systems of systems, SOS). 21 世纪 构造 的 大 型 系统 不 会 从 
头 进行 开发 ， 而 是 通过 集成 现 有 的 复杂 系统 来 创建 。 解 释 了 为 什么 在 开发 系统 之 系统 中 理解 
复杂 性 很 重要 ， 并 且 讨 论 了 复杂 系统 之 系统 的 体系 结构 模式 。 

大 多 数 软 件 系统 并 不 是 应 用 程序 或 业务 系统 ， 而 是 上 谋 入 式 实时 系统 ， 第 21 章 中 介绍 了 ， 
这 一 重要 的 话题 。 介 绍 了 实时 嵌入 式 系统 的 思想 ， 描 述 了 嵌入 式 系 统 设计 中 所 使 用 的 体系 结 
构 模 式 ; 解释 了 时 间 性 分 析 的 过 程 ， 并 且 以 一 个 关于 实时 操作 系统 的 讨论 结束 了 这 一 章 。 
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目标 

本 章 的 目标 是 介绍 软件 复 用 并 描述 基于 大 规模 软件 复 用 的 系统 开发 方法 。 阅 读 完 本 章 
后 ,你 将 : 

e 理解 开发 新 系统 时 复 用 软件 的 收益 和 问题 ; 

o 理解 作为 一 组 可 复 用 对 象 的 应 用 框架 的 概念 ， 以 及 框架 可 以 如 何在 应 用 开发 中 使 用 ; 

o 了 解 软 件 产品 线 ， 它 包括 一 组 通用 的 核心 体系 结构 和 可 复 用 构件 ， 这 些 构件 可 以 面 

问 每 一 个 产品 版 本 进行 配置 ; 

e 学 习 如 何 通 过 配置 和 组 装 成 品 应 用 软件 系统 来 开发 系统 。 

基于 复 用 的 软件 工程 是 一 种 软件 工程 策略 ， 其 中 开发 过 程 会 复 用 现 有 的 软件 。 直 到 
2000 年 左右 ， 系 统 化 的 软件 复 用 仍然 不 那么 普遍 ， 但 是 复 用 现在 已 经 在 新 的 业务 系统 的 开 
发 中 得 到 了 广泛 使 用 。 更 低 的 软件 开发 和 维护 成 本 、 更 快 的 系统 交付 、 更 高 的 软件 质量 驱动 
了 向 基于 复 用 的 开发 的 转换 。 企 业 将 他 们 的 软件 视 为 一 种 有 价值 的 资产 。 他 们 提升 对 现 有 系 
统 的 复 用 来 提高 自己 在 软件 投资 上 的 回报 。 

不 同类 型 的 可 复 用 软件 现在 都 广泛 地 存在 着 。 开 源 运动 使 得 我 们 有 了 巨大 的 可 以 复 用 的 
代码 库 。 这 些 可 复 用 代码 的 形式 可 以 是 程序 库 或 者 整个 应 用 。 现 在 许多 特定 领域 的 应 用 系统 
(例如 ERP 系统 ) 都 可 以 根据 客户 需求 进行 裁剪 和 适应 性 修改 。 一 些 大 的 软件 公司 为 他 们 的 
客户 提供 了 一 系列 可 复 用 构件 。 相 关 标 准 (例如 Web 服务 标准 ) 使 得 开发 软件 服务 并 在 一 系 
列 应 用 中 进行 复 用 变 得 更 容易 。 

基于 复 用 的 软件 工程 是 一 种 试图 最 大 化 复 用 现 有 软件 的 开发 方法 。 可 以 复 用 的 软件 单元 
的 大 小 差异 很 大 。 例 如 下 面 这 些 : 

1. 系统 复 用 。 可 能 由 一 些 应 用 程序 组 成 的 完整 的 系统 ， 可 以 作为 系统 之 系统 ( 见 第 20 
草 ) 的 一 部 分 进行 复 用 。 

2. 应 用 复 用 。 一 个 应 用 可 以 不 经 修改 直接 纳入 到 别 的 系统 中 而 进行 复 用 ， 或 者 通过 面向 
不 同 的 客户 进行 配置 来 进行 复 用 。 此 外 ， 也 可 以 使 用 应 用 族 或 者 软件 产品 线 来 开发 新 系统 ， 
它们 具有 通用 的 体系 结构 ， 但 是 可 以 根据 不 同 的 客户 需求 进行 适应 性 修改 。 

3. 构件 复 用 。 一 个 应 用 的 构件 ， 从 规模 很 大 的 子 系统 到 规模 很 小 的 单个 对 象 ， 也 可 以 复 
用 。 例 如 ， 作 为 一 个 文本 处 理 系统 的 一 部 分 开发 的 一 个 模式 匹配 系统 ， 可 以 在 一 个 数据 库 管 
理 系 统 中 进行 复 用 。 构 件 可 以 部 奢 在 云 上 或 者 私有 服务 硕 上 ， 可 以 作为 服务 通过 应 用 编程 接 
口 (application programming interface，API) 进行 访问 。 

4. 对 象 和 函数 复 用 。 实 现 单个 功能 (例如 数学 盟 数 ) 或 者 一 个 对 象 的 软件 构件 也 可 以 复 
用 。 这 种 形式 的 复 用 是 围绕 标准 库 设 计 的 ， 在 过 去 40 年 中 一 直 很 常见 。 许 多 可 用 的 因数 库 
和 类 库 都 是 免费 的 。 通 过 将 这 些 库 中 的 类 和 困 数 与 新 开发 的 应 用 代码 链接 到 一 起 对 它们 进 
行 复 用 。 数 学 算法 和 图 形 这 样 的 领域 需要 专业 、 昂 贵 的 专家 知识 来 开发 高 效 的 对 象 和 函数 ， 
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此 时 复 用 尤其 具有 成 本 效益 优势 。 

所 有 包含 通用 功能 的 软件 系统 和 构件 都 具有 潜在 的 可 复 用 性 。 然 而 ， 这 些 系统 或 构件 有 
时 是 具有 特定 性 的 ， 以 至 于 修改 它们 以 适应 一 个 新 的 情形 非常 昂贵 。 除 了 复 用 代码 ， 还 可 以 
复 用 作为 软件 基础 的 思想 。 这 被 称 为 概念 复 用 。 

在 概念 复 用 中 ， 不 是 复 用 软件 构件 ， 而 是 复 用 一 个 想法 、 一 种 工作 方式 ， 或 者 一 个 算 
法 。 所 复 用 的 思想 以 一 种 抽象 的 表示 法 (例如 一 个 系统 模型 ) 进行 表示 ， 其 中 不 包含 实现 细 
方 。 因 此 ， 它 可 以 面向 一 系列 不 同 的 情形 进行 配置 和 适应 性 修改 。 概 念 复 用 包含 在 一 些 方 法 
之 中 ， 例 如 设计 模式 ( 见 第 7 草 )、 可 配置 的 系统 产品 、 程 序 生 成 器 。 当 概念 被 复 用 时 ， 复 
用 过 程 必须 包含 一 个 活动 来 对 抽象 概念 进行 实例 化 以 创建 可 执行 的 构件 。 

软件 复 用 的 一 个 明显 的 优势 是 ， 总 体 的 开发 成 本 会 更 低 。 需 要 进行 规格 说 明 、 设 计 、 实 
现 和 确认 的 软件 构件 会 更 少 。 然 而 ， 降 低 成 本 只 是 软件 复 用 的 一 个 优势 。 图 15-1 中 列 出 了 
软件 复 用 的 其 他 好 处 。 


一 个 系统 尽早 推 向 市 场 经 常 比 总 体 开发 成 本 更 重要 。 复 用 软件 可 以 加 速 系 
统 生 产 ， 因 为 开发 和 确认 所 需 的 时 间 都 可 以 减少 


有 效 的 专家 利用 ee 


提高 可 依赖 性 被 复 用 的 软件 在 工作 的 系统 中 进行 了 尝试 和 测试 ， 因 此 应 该 比 新 软件 具有 更 
| 好 的 可 依赖 性 。 它 的 设计 和 实现 故障 应 该 已 经 被 发 现 和 修复 了 


开发 成 本 与 所 开发 的 软件 的 规模 成 正比 。 复 用 软件 意味 着 需要 编写 的 代码 行 更 少 

已 有 软件 的 成 本 是 已 知 的， 而 开发 成 本 总 是 需要 判断 ， 这 是 一 个 很 重要 的 项 

降低 过 程 风险 。 ”| 目 管 理 因素 ， 因 为 复 用 软件 降低 了 项 目 成 本 估算 中 的 边际 误差 ， 特 别 是 当 复 用 
大 规模 软件 构件 (例如 子 系统 ) 时 尤其 如 此 

有 些 标准 ， 例 如 用 户 界 面 标准 ， 可 以 被 实现 为 一 组 可 复 用 构件 。 例 如 ， 如 果 

— 一 个 用 户 界面 中 的 菜单 使 用 可 复 用 构件 实现 ， 那么 所 有 应 用 都 会 向 用 户 呈 现 出 

同样 的 菜单 格式 。 使 用 标准 的 用 户 界面 可 以 提高 可 依赖 性 ， 因 为 用 户 在 面 对 一 


个 熟悉 的 界面 时 会 更 少 犯 错误 
图 15-1 软件 复 用 的 收益 


然而 ， 复 用 也 有 一 些 相关 的 成 本 和 困难 ( 见 图 15-2 )。 理 解 一 个 构件 在 一 个 特定 情形 下 





Pe 维护 以 及 | 创建 一 个 可 复 用 构件 库 并 确保 软件 开发 者 可 以 使 用 这 个 构件 库 可 能 会 很 昂贵 。 
一 个 构件 库 必须 对 开发 过 程 进行 调整 以 确保 使 用 构件 库 


er mpg) 必须 能 从 一 个 库 中 找到 软件 构件 、 理 解 它 ， 有 时 候 还 需要 对 其 进行 适 配 以 用 于 
渤 本 可 复 用 构件 。 | 一 个 新 的 环境 。 工 程 师 在 将 构件 查找 作为 他 们 常规 开发 过 程 的 一 部 分 之 前 ， 必 须 
对 于 在 构件 库 中 找到 想 要 的 构件 相当 有 信心 

ree 如 果 没 有 提供 一 个 被 复 用 的 软件 系统 或 构件 的 源 代码 ， 那 么 维护 成 本 可 能 会 更 


高 ， 因 为 被 复 用 的 系统 元 素 可 能 会 随 着 对 系统 的 修改 而 变 得 不 兼容 


一 些 软件 工具 不 支持 基于 复 用 的 开发 。 将 这 些 工 具 与 构件 库 系统 集成 可 能 很 难 

其 至 不 可 能 。 这 些 工具 所 假设 的 软件 过 程 可 能 并 没有 考虑 复 用 。 与 面向 对 象 开发 
工具 相 比 ， 支 持 伐 人 式 系 统 工程 的 工具 更 有 可 能 是 这 种 情况 

一 些 软件 工程 师 喜 欢 对 构件 进行 修改 ， 因 为 他 们 认为 他 们 可 以 改进 这 些 构件 。 


这 样 做 部 分 与 信任 有 关 ， 同 时 也 部 分 因为 与 复 用 其 他 人 的 软件 相 比 编写 原创 的 软 
件 被 视 为 更 具 挑战 性 


“不 是 在 这 里 发 明 
的 ”综合 症 





图 15-2 软件 复 用 的 问题 
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是 否 适 合 复 用 以 及 测试 该 构件 以 保证 其 可 依赖 性 都 有 着 显著 的 成 本 。 这 些 附 加 的 成 本 意味 着 
在 开发 成 本 方面 的 节省 可 能 会 低 于 预期 。 然 而 ， 复 用 的 其 他 收益 仍然 成 立 。 

如 第 2 章 所 述 ， 软 件 开 发 过 程 必须 进行 调整 以 充分 考虑 复 用 。 特 别 是 ， 要 有 一 个 需求 精 
化 阶段 来 对 系统 需求 进行 修改 以 反映 可 用 的 可 复 用 软件 。 系 统 的 设计 和 实现 阶段 也 可 能 要 包 
括 一 些 显 式 的 活动 ， 以 便 针 对 复 用 来 寻找 和 评估 候选 构件 。 


15.1 复 用 概览 


在 过 去 20 年 中 ， 人 们 开发 了 许多 技术 来 文 持 软件 复 用 。 这 些 技术 利用 了 以 下 几 个 方面 的 
事实 : 同属 一 个 应 用 领域 的 系统 相似 且 具 有 复 用 潜力 ; 复 用 可 以 在 多 个 不 同 层 次 上 进行 ， 从 
简单 的 函数 到 完整 的 应 用 ; 可 复 用 构件 标准 有 利于 复 用 。 图 15-3 显示 了 一 个 “ 复 用 概览 "， 其 
中 包括 实现 软件 复 用 的 不 同方 式 。 图 15-4 对 这 些 复 用 方法 一 一 进行 了 介绍 。 







设计 模式 体系 结构 模式 






应 用 框架 
系统 之 系统 


软件 产品 线 应 用 系统 集成 ERP 系 统 


可 配置 的 应 用 系统 ”遗留 系统 包装 














基于 构件 的 软件 工程 





模型 驱动 的 工程 ” 面向 服务 的 系统 


面向 方面 的 软件 开发 ”程序 生成 器 PTE 


图 15-3 复 用 概览 


有 了 这 一 系列 复 用 技术 后 ， 关 键 问题 是 “在 某 种 特定 情形 下 哪 种 技术 是 最 适合 使 用 
的 ”? 显然 ， 这 个 问题 的 答案 取决 于 所 开发 的 系统 的 需求 、 可 用 的 技术 和 可 复 用 资产 、 开 发 
团队 的 技术 水 平等 。 在 规划 复 用 时 应 当 考 虑 以 下 这 些 关键 因素 。 

1. 软件 的 开发 进度 。 如 果 软 件 必须 要 快速 开发 ， 应 当 尽 量 复 用 完整 的 系统 而 不 是 单个 构 
件 。 虽 然 可 复 用 的 完整 系统 对 于 需求 的 符合 度 可 能 并 不 完美 ， 但 是 这 种 方法 可 以 让 所 需要 的 
开发 量 最 小 化 。 

2. 所 期 望 的 软件 生命 周期 。 如 果 开 发 一 个 长 生命 周期 的 系统 ， 应 当 关 注 系统 的 可 维护 
性 。 不 应 当 只 考虑 复 用 的 短期 收益 ， 而 是 要 考虑 长 期 的 影响 。 在 整个 生命 周期 中 ， 你 将 不 得 
不 为 了 实现 新 需求 而 对 系统 进行 适应 性 调整 ， 这 意味 着 要 对 系统 各 个 部 分 进行 修改 。 如 果 你 
无 法 访问 可 复 用 构件 的 源 代码 ， 你 可 能 会 倾向 于 避免 使 用 来 自 外 部 供应 商 的 成 品 构件 以 及 系 
统 ， 因 为 这 些 供应 商 可 能 无 法 为 所 复 用 的 软件 提供 持续 的 支持 。 你 可 能 会 决定 复 用 开源 系统 
和 构件 更 安全 一 些 ( 见 第 7 章 )， 因 为 这 意味 着 你 可 以 访问 源 代码 并 持 有 代码 拷贝 。 

3. 开发 团队 的 背景 、 技 能 和 经 验 。 所 有 的 复 用 技术 都 相当 复杂 ， 需 要 相当 多 的 时 间 来 有 
效 地 理解 和 使 用 它们 。 因 此 ， 应 当 将 复 用 的 注意 力 放 在 开发 团队 具有 经 验 和 专业 能 力 的 领域 。 

4. 软件 的 关键 性 及 其 非 功 能 性 需求 。 对 于 一 个 必须 要 由 外 部 监管 者 进行 认证 的 关键 性 系 
统 而 言 ， 可 能 不 得 不 为 该 系统 创建 一 个 安全 或 信息 安全 用 况 ( 见 第 12 章 )。 如 果 你 无 法 访问 
软件 的 源 代码 ， 那 么 这 个 可 能 很 难 做 到 。 如 果 你 的 软件 有 着 严格 的 性 能 需求 ， 那 么 使 用 模型 
驱动 的 工程 ( 见 第 5 章 ) 这 样 的 策略 可 能 就 不 太 现 实 了 。 模 型 驱动 的 工程 依赖 于 从 系统 的 一 
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个 可 复 用 的 特定 领域 模型 生成 代码 。 然 而 ， 模 型 驱动 的 工程 中 所 使 用 的 代码 生成 器 经 常会 生 
成 相对 低 效 的 代码 。 


一 些 抽象 类 和 具体 类 通过 适 配 和 扩展 来 创建 应 用 系统 
应 用 系统 集成 两 个 或 更 多 的 应 用 系统 集成 在 一 起 提供 扩展 的 功能 


将 支持 共性 应 用 系统 的 标准 软件 体系 结构 作为 应 用 开发 的 基础 。 第 6、11、 
ZE Bh het sh 
simian 17 章 中 有 介绍 
面 回 方面 的 软件 开发 


在 程序 编译 时 将 共享 的 构件 部 署 到 一 个 应 用 中 的 不 同 地 方 。 在 线 内 容 的 第 
基于 构件 的 软件 工程 


31 章 中 有 介绍 
可 配置 的 应 用 系统 



































































通过 集成 符合 构件 模型 标准 的 构件 (由 一 组 对 象 构成 ) 来 开发 系统 。 第 16 
章 中 有 介绍 
设计 特定 领域 系统 使 得 它们 可 以 按照 特定 系统 客户 的 需要 进行 配置 
milan. 具体 对 象 以 及 它们 的 交互 。 第 7 章 中 有 介绍 
封装 了 通用 业务 功能 和 规则 的 大 型 系统 面向 一 个 组 织 进行 配置 
cae ial eae wh ae 2 BE eke Pe HR Pb at BY EH a wT 
an Rote 统 ( 第 9 章 ) 进行 “包装 ” 
软件 被 表示 为 领域 模型 和 实现 无 关 模 型 ， 并 且 基 于 这 些 模型 生成 代码 。 第 
ean 一 个 生成 器 系统 中 包含 了 某 种 类 型 应 用 的 知识 ， 可 以 用 来 在 一 个 用 户 提供 
的 系统 模型 基础 上 生成 该 领域 中 的 系统 
提供 实现 了 通用 抽象 的 类 和 函数 库 ， 用 于 复 用 
i 通过 将 共享 服务 链接 到 一 起 来 开发 系统 ， 其 中 的 服务 可 以 是 外 部 提供 的 ， 
A Bh 
BPRS ARS | ee 1g 章 申 介绍 
ee 在 一 个 通用 体系 结构 基础 上 对 某 种 类 型 的 应 用 进行 泛 化 ， 使 其 可 以 面向 不 
同 客户 进行 适 配 
系统 之 系统 
图 1$-4 ”支持 软件 复 用 的 方法 
5. 应 用 领域 。 在 许多 应 用 领域 (例如 制造 和 医疗 信息 系统 ) 中 ， 存 在 一 些 通 用 产品 ， 它 
们 可 以 通过 面 回 本 地 环境 的 配置 进行 复 用 。 这 是 最 有 效 的 复 用 方法 之 一 ， 购 买 一 个 系统 总 是 
要 比重 新 构建 一 个 新 系统 要 便宜 。 
6. 系统 在 其 上 运行 的 平台 。 一 些 构件 模型 特定 于 某 个 平台 ， 例 如 NET 特定 于 微软 平台 。 


出 现在 多 不 应 用 中 的 通用 抽象 被 表示 为 设计 模式 ， 其 中 描述 了 抽象 对 象 和 
RMS Te eee nam 
两 个 或 更 多 的 分 布 式 系统 被 集成 起 来 创建 一 个 新 系统 。 第 20 章 中 有 介绍 
与 之 相似 ， 通 用 的 应 用 系统 也 可 能 是 平台 相关 的 ， 只 能 在 同样 的 平台 上 对 它们 进行 复 用 。 








人 基于 生成 器 的 复 用 


基于 生成 器 的 复 用 将 可 复 用 的 概念 和 知识 加 入 到 自动 化 的 工具 中 ， 并 为 工具 用 户 提 
供 一 种 简单 的 方式 来 将 特定 的 代码 与 这 些 通用 的 知识 相 集成 。 这 一 方法 通常 在 特定 领域 的 
应 用 中 最 有 效 。 领 域 中 已 知 的 问题 解决 方案 被 误 入 在 生成 器 系统 中 ， 并 由 用 户 来 选取 以 生 

成 一 个 新 系统， 








http://software-engineering-book.com/web/generator-reuse/ 
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可 用 的 复 用 技术 范围 很 广 ， 以 至 于 在 大 多 数 情 况 下 总 是 存在 某 种 形式 的 软件 复 用 的 可 能 
性 。 是 否 实 现 复 用 经 常 是 一 个 管理 而 非 技 术 问 题 。 管 理 人 员 可 能 会 不 愿意 在 需求 上 让 步 以 使 
得 可 复 用 构件 可 以 使 用 上 。 与 理解 原始 开发 的 风险 相 比 ， 他 们 对 于 与 复 用 相关 的 风险 没有 那 
么 好 的 理解 。 虽 然 新 软件 开发 的 风险 可 能 更 高 ， 一 些 管理 人 员 还 是 倾 回 于 面 对 已 知 的 开发 风 
险 而 不 是 未 知 的 复 用 风险 。 为 了 提升 企业 范围 内 的 复 用 ， 可 能 有 必要 引入 一 个 关注 可 复 用 资 
产 的 创建 以 及 有 助 于 复 用 的 过 程 的 复 用 计划 (Jacobsen, Griss, and Jonsson 1997 ) 。 


15.2 ”应 用 框架 


早期 的 面向 对 象 开发 狂热 者 们 认为 ,使 用 面向 对 象 方法 的 一 个 关键 好 处 是 对 象 可 以 在 
不 同 的 系统 中 进行 复 用 。 然 而 ,经验 表明 对 和 象 经 和 常 粒 度 太 小 ， 并 且 经 常 针 对 特定 应 用 进行 
了 特 化 。 与 重新 实现 对 象 相 比 ， 理 解 和 适 配 一 个 对 象 经 常 要 花费 更 长 的 时 间 。 现 在 已 经 很 
清楚 ， 在 面向 对 象 开 发 过 程 中 ， 通 过 称 为 框架 的 更 大 粒度 的 抽象 来 文 持 面 品 对 象 的 复 用 是 最 
好 的 。 

如 同 其 名 字 所 表达 的 含义 ， 一 个 框架 是 一 个 通用 的 结构 ， 可 以 通过 扩展 来 创建 更 加 特定 
的 子 系统 或 应 用 。Schmidt 等 (Schmidt et al. 2004 ) 将 框架 定义 为 : 

一 组 软件 制品 (例如 ， 类 、 对 象 、 构 件 ) 的 有 机 集合 ， 这 些 制 品 相 互 协 作 米 为 一 系列 相 
关 的 应 用 提供 一 个 可 复 用 的 体系 结构 

框架 为 很 有 可 能 在 所 有 相似 类 型 的 应 用 中 使 用 的 通用 特性 提供 支持 。 例 如 ， 一 个 用 户 罕 
面 框架 可 以 为 界面 事件 处 理 提 供 支 持 ， 并 上 且 提供 一 组 可 以 用 于 构造 界面 显示 的 小 部 件 ， 这 样 
开发 人 员 就 可 以 通过 为 特定 的 应 用 增加 特定 的 功能 来 进行 特征 化 。 例 如 ， 在 一 个 用 户 界面 框 
架 中 ,开发 人 员 定 义 适合 于 所 实现 的 应 用 的 显示 布局 。 

框架 支持 设计 复 用 ， 它 们 为 应 用 以 及 系统 中 特定 的 类 的 复 用 提供 了 一 个 骨架 体系 结构 。 
体系 结构 通过 对 象 类 以 及 它们 的 交互 来 实现 。 类 可 以 直接 复 用 ， 也 可 以 使 用 继承 和 多 态 这 样 
的 特性 对 其 进行 扩展 。 

框架 被 实现 为 某 种 面向 对 象 编程 语言 中 的 一 系列 具体 和 抽象 对 象 类 。 因 此 ,框架 是 特定 
于 语言 的 。 广 泛 使 用 的 一 些 面 向 对 象 编程 语言 都 有 自己 的 框架 ， 例如 Java、C#、C++， 以 及 
Ruby, Python 等 动态 语言 。 实 际 上 ,一 个 框架 还 可 以 包含 其 他 框架 ， 其 中 每 个 框架 被 设计 
用 来 支持 应 用 中 的 一 部 分 开发 。 可 以 使 用 一 个 框架 来 创建 一 个 完整 的 应 用 或 者 实现 一 个 应 用 
的 一 部 分 ， 例 如 图 形 化 用 户 界 面 。 

使 用 最 广泛 的 应 用 框架 是 Webb 应 用 框架 ( Web Application Framework, WAF), € fi] 
支持 动态 网 站 的 构造 。 一 个 Web 应 用 框架 的 体系 结构 通常 都 是 基于 模型 -视图 一 控制 各 
( Model-View-Controller, MVC) 组 合 模式 ， 如 图 15-5 fas. MVC 模式 最 初 是 在 20 世纪 80 
年 代 提 出 的 ， 作 为 一 种 图 形 化 用 户 界面 设计 方法 ， 允 许 一 个 对 象 存在 多 种 展现 方式 ， 并 且 每 
种 展现 都 有 不 同 的 交互 风格 。 从 本 质 上 看 ，MVC 模式 将 对 象 状态 从 它 的 展现 中 分 离 出 去 ， 
从 而 使 其 状态 可 以 就 每 一 种 展现 进行 更 新 。 

一 个 MVC 框架 支持 以 不 同 的 方式 展现 数据 ， 并 且 人 允许 与 这 些 展现 中 的 每 一 个 进行 交 
互 。 当 数据 通过 某 种 展现 方式 进行 修改 之 后 ， 系 统 模型 进行 修改 ， 与 每 一 个 视图 相关 联 的 控 
制 希 更 新 它们 目 己 的 展现 。 


© Schmidt, D. C., A. Gokhale, and B. Natarajan. 2004. “ Leveraging Application Frameworks.” ACM Queue 
2(5(July/August)):66-75. doi:10.1145/1016998.1017005. 
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用 户 输入 | ”视图 修改 消息 


模型 方法 


图 15-5 ”模型 — 视图 = 控制 锅 模 式 


框架 经 常 是 设计 模式 的 实现 ， 如 第 7 章 中 所 讨论 的 。 例 如 ， 一 个 MVC 框架 包括 观察 者 
(observer) 模式 、 策 略 〈strategy) 模式 、 组 合 模式 (composite) LAK Gamma 等 人 ( Gamma 
et al. 1995) 的 书 中 所 讨论 的 其 他 一 些 模式 。 模 式 的 通用 特性 以 及 它们 所 使 用 的 抽象 类 和 具 
体 类 使 得 可 扩展 性 成 为 可 能 。 没 有 模式 ， 框 架 几 乎 肯定 会 变 得 没有 实用 价值 。 

虽然 框架 所 包含 的 功能 略 有 不 同 ，Web 应 用 框架 所 提供 的 构件 和 类 通常 都 支持 以 下 这 些 
功能 。 

1. 信息 安全 。Web 应 用 框架 可 以 包含 一 些 类 来 帮助 实现 用 户 身 份 认证 (登录 ) 和 访问 控 
制 ， 以 确保 用 户 在 系统 中 只 能 访问 被 允许 的 一 些 功 能 。 

2. HA Web 页 。 提 供 一 些 类 来 帮助 你 定义 Web 页 模板 ， 以 及 动态 地 填 人 来 自 系统 数据 
库 中 的 特定 数据 。 

3. 数据 库 集成 。 框 架 自身 通常 并 不 包含 数据 库 ， 而 是 假设 会 使 用 一 个 独立 的 数据 库 ， 例 
如 MySQL。 框架 可 以 包含 一 些 类 来 提供 对 于 不 同 数 据 库 的 抽象 接口 。 

4. 会 话 管理 。Web 应 用 框架 通常 都 会 包含 一 些 类 来 创建 并 管理 会 话 (用 户 与 系统 之 间 的 
一 系列 交互 )。 

5. 用户 交互 。Web 应 用 框架 提供 了 AJAX (Holdener 2008 ) 和 HTML5 支持 (Sarris 
2013 )， 它 们 允许 创建 交互 式 的 Web 页 。 它 们 可 能 会 包含 一 些 类 来 允许 创建 与 设备 无 关 的 界 
面 ， 这 些 界 面 可 以 自动 地 适应 移动 电话 和 平板 电脑 。 

为 了 使 用 一 个 框架 实现 一 个 系统 ， 要 增加 一 些 继承 自 框架 中 的 抽象 类 的 操作 的 具体 类 。 
此 外 ， 还 会 定义 回调 (callback)， 即 作为 对 框架 所 识别 的 事件 的 应 答 而 被 调用 的 方法 。 框 架 
对 象 ， 而 非 应 用 特定 的 对 象 ， 负 责 系 统 中 的 控制 。Schmidt 4 A (Schmidt, Gokhale, and 
Natarajan 2004 ) 将 此 称 为 控制 转 置 (inversion of 
Se 界面 ( GUI) aa : 


作为 对 来 目 用 户 界面 和 数据 库 的 事件 的 应 答 ， 








图 形 用 户 






al 
HEAR $I VIREO REEF E ERIEN “Ha =o 
方法 ”。 用 户 提供 的 功能 定义 了 应 用 应 当 如 何 响应 
事件 ( 见 图 15-6 )。 例如， 一 个 框架 有 一 个 方法 来 oe 书 





处 理 来 自 环 境 的 鼠标 点 击 。 这 个 方法 被 称 为 钩子 方 回 
法 ， 必 须 配 置 这 个 方法 来 调用 合适 的 应 用 方法 来 处 


i 
数据 库 FOO 上 
理 局 标 A d oO ON Vas VAM PAR sa MA l 


Fayad 和 Schmidt ( Fayad and Schmidt 1997 ) 图 15-6 框架 中 的 控制 转 置 
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讨论 了 其 他 3 种 框架 。 

1. 系统 基础 设施 框架 ， 支 持 系统 基础 设施 (例如 ,通信 、 用 户 界面 、 编 译 器 ) 的 开发 。 

2. 中 间 件 集成 框架 ， 包 含 一 组 支持 构件 通信 和 信息 交换 的 标准 以 及 相关 的 对 象 类 。 这 类 
框架 的 例子 包括 微软 的 .NET 以 及 EJB (Enterprise Java Beans)。 这 些 框 架 对 标准 化 的 构件 模 
型 提供 了 支持 ， 如 第 16 章 所 述 。 

3. 企业 应 用 框架 ， 关 注 特 定 的 应 用 领域 ， 例 如 电信 或 财务 系统 ( Baumer et al. 1997 ) 
这 些 框 架 包含 应 用 领域 知识 并 且 文 持 最 终 用 户 应 用 的 开发 。 这 些 框架 现在 并 没有 广泛 使 用 ， 
并 且 已 经 被 软件 产品 线 所 取代 。 

使 用 框架 构造 的 应 用 可 以 通过 软件 产品 线 或 者 应 用 族 的 思想 成 为 进一步 复 用 的 基础 。 因 
为 这 些 应 用 都 是 用 一 个 框架 构造 的 ， 修改 产品 族 成 员 创建 其 他 系统 实例 经 常 是 一 个 很 直观 的 
过 程 。 其 中 包括 重 写 已 加 入 框架 的 具体 类 和 方法 。 

框架 是 一 种 非常 有 效 的 复 用 方法 。 然 而 ， 将 它们 引入 到 软件 开发 过 程 中 是 很 昂贵 的 ， 因 
为 它们 内 在 的 复杂 性 ， 可 能 要 花 上 几 个 月 的 时 间 去 学 习 如 何 使 用 框架 。 评 估 可 用 的 框架 ， 然 
后 挑选 一 个 最 合适 的 ， 这 样 做 会 很 困难 和 昂贵 。 调 试 基于 框架 的 应 用 比 调试 原始 代码 更 困 
难 ， 因 为 你 可 能 不 理解 框架 方法 是 如 何 交 互 的 。 调试 工具 可 能 会 提 做 关于 被 复 用 的 框架 构件 
的 信息 ,但 是 开发 人 员 不 理解 这 些 信息 


15.3 软件 产品 线 


当 一 家 企业 不 得 不 支持 许多 相似 但 不 完全 相同 的 系统 时 ， 其 中 最 有 效 的 一 种 复 用 方法 是 
创建 一 个 软件 产品 线 。 硬 件 控制 系统 经 常 使 用 这 种 方法 进行 开发 ， 就 像 物流 或 医疗 系统 这 样 
的 领域 中 的 特定 领域 应 用 。 例如， 一 个 打印 机 制造 商 要 开发 打印 机 控制 软件 ， 其 中 针对 每 一 
种 型 号 的 打印 机 都 有 一 个 特定 的 版 本 。 这 些 软件 版 本 有 很 多 共性 的 部 分 ， 合 理 的 做 法 是 ， 创 
建 一 个 核心 产品 (产品 线 )， 然 后 针对 每 种 打印 机 型 号 进行 适 配 是 合理 的 。 

一 个 软件 产品 线 是 具有 一 个 共性 体系 结构 以 及 共享 构件 的 一 组 应 用 ， 其 中 每 一 个 应 用 
都 进行 了 特征 化 以 反映 特定 的 客户 需求 。 核 心 系统 的 设计 使 得 可 以 对 其 进行 配置 和 适 配 以 适 
应 不 同 客户 或 装备 的 需要 。 这 可 能 会 包括 配置 一 些 构件 、 实 现 一 些 额 外 的 构件 、 修 改 一 些 构 
件 ， 从 而 反映 新 需求 。 

通过 适 配 一 个 应 用 的 通用 版 本 来 开发 应 用 ， 意 味 着 应 用 代码 中 很 大 一 部 分 都 可 以 在 每 个 
系统 中 进行 复 用 。 测 试 也 可 以 简化 ， 因 为 对 应 用 中 很 大 一 部 分 的 测试 都 可 以 被 复 用 ， 因 此 可 
以 降低 总 体 的 应 用 开发 时 间 。 工 程 师 通过 软件 产品 线 了 解 、 学 习 应 用 领域 ， 进 而 可 以 成 为 能 
够 快速 开发 出 新 应 用 的 专家 。 

软件 产品 线 通常 是 在 已 有 应 用 的 基础 上 涌现 出 来 的 。 也 就 是 说 一 个 组 织 开 发 一 个 应 用 ， 
然后 当 需 要 一 个 相似 的 系统 时 ， 采 用 非 正 式 的 方法 在 新 应 用 中 复 用 来 自前 一 个 应 用 的 代码 。 
开发 其 他 相似 的 应 用 时 可 以 使 用 同样 的 过 程 。 然 而 ， 修 改 会 破坏 应 用 结构 ， 因 此 随 着 更 多 的 
新 应 用 实例 的 开发 ， 创 建 一 个 新 版 本 将 变 得 越 来 越 困 难 。 其 结果 是 ， 接 下 来 可 能 会 做 出 设计 
一 个 通用 产品 线 的 决定 。 这 包括 识别 产品 实例 中 的 共性 功能 并 且 开 发 一 个 基准 应 用 ， 这 个 应 
用 接 春 将 用 于 未 来 的 开发 。 

设计 这 个 基准 应 用 ( 见 图 15-7) 的 目的 是 简化 复 用 和 重 配置 。 一 般 而 言 ， 一 个 基准 应 用 


© Fayad, M. E., and D. C. Schmidt. 1997. “ Object-Oriented Application Frameworks.” Comm. ACM 40(10) : 
32-38. doi:10.1145/262793.262798. 
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包括 以 下 这 些 内 容 。 

1. 提供 基础 设施 支持 的 核心 构件 。 这 些 构件 在 开发 新 的 产品 实例 时 通常 不 会 进行 修改 。 

2. 可 以 进行 修改 和 配置 从 而 面向 一 个 新 应 用 对 
它们 进行 特征 化 的 可 配置 构件 。 有 时 候 可 以 使 用 内 建 _ 特 征 化 的 应 用 构件 
的 构件 配置 语言 对 这 些 构件 进行 重新 配置 而 不 需要 修 
改 它 们 的 代码 。 

3. 一 些 特征 化 的 、 领 域 特定 的 构件 ， 其 中 的 一 
些 或 全 部 在 创建 产品 线 的 新 实例 时 会 被 替换 掉 。 

应 用 框架 和 软件 产品 线 有 很 多 共性 。 它 们 都 支 
持 一 个 共性 的 体系 结构 和 一 些 共 性 构件 ， 并 需要 新 的 
开发 来 创建 一 个 系统 的 特定 版 本 。 这 些 方法 的 区 别 主要 在 于 以 下 几 个 方面 。 

1. 应 用 框架 依赖 于 面向 对 象 特性 (例如 ， 继 承 和 多 态 ) 来 实现 对 框架 的 扩展 。 一 般 而 
言 ， 框 架 代码 没 有 修改 ， 可 能 的 修改 被 限制 在 框架 所 支持 的 那些 地 方 。 软 件 产品 线 并 不 一 定 
要 使 用 面向 对 象 方法 进行 创建 。 可 以 对 应 用 构件 进行 替换 、 删 除 或 重 写 。 至 少 在 原则 上 对 于 
可 以 做 的 修改 是 没有 限制 的 。 

2. 大 部 分 应 用 框架 提供 了 泛 化 的 支持 而 不 是 特定 领域 的 支持 。 例 如 ， 有 支持 创建 基于 
Web 的 应 用 的 应 用 框架 。 软 件 产品 线 通常 包含 详细 的 领域 和 平台 信息 。 例 如 ， 可 以 有 一 个 关 
注 基于 Web 的 健康 记录 管理 应 用 的 软件 产品 线 。 

3. 软件 产品 线 经 常 是 设备 的 控制 应 用 。 例 如 ， 可 以 有 针对 一 个 打印 机 产品 族 的 软件 产品 
线 。 这 意味 着 产品 线 必须 为 硬件 接口 提供 支持 。 应 用 框架 通常 是 面向 软件 的 ， 它 们 通常 并 不 
会 包含 硬件 交互 构件 。 

4. 软件 产品 线 由 一 系列 相关 的 应 用 族 构成 ， 属 于 同一 个 组 织 。 当 创建 新 的 应 用 时 ， 起 始 
点 经 常 是 应 用 族 中 最 接近 的 产品 成 员 ， 而 不 是 通用 的 核心 应 用 。 

如 果 要 使 用 一 种 面向 对 象 编程 语言 开发 一 个 软件 产品 线 ， 那 么 可 以 使 用 一 个 应 用 框架 作 
为 系统 基础 。 通 过 在 框架 基础 上 使 用 它 的 内 建 机 制 扩展 特定 领域 的 构件 来 创建 产品 线 核心 。 
然后 ， 在 第 二 个 开发 阶段 中 为 不 同 的 客户 创建 不 同 的 系统 版 本 。 例 如 ， 可 以 使 用 一 个 基于 
Web 的 框架 来 构建 一 个 基于 Web 的 咨询 台 软件 产品 线 的 核心 。 这 个 “咨询 台 产 品 线 ”接着 
可 以 被 进一步 特征 化 以 提供 特定 类 型 的 咨询 台 支 持 。 

一 个 软件 产品 线 的 体系 结构 经 常 反映 了 一 种 通 


XH. 
用 的 应 用 特定 的 体系 结构 风格 或 模式 。 例 如 ， 考 虑 一 
个 设计 用 于 应 急 服务 的 车 辆 调度 的 产品 线 系统 。 这 个 
系统 的 操作 人 员 接听 事故 来 电 ， 寻 找 合适 的 车 辆 来 响 条/ 条 出 管理 


应 事故 处 理 ， 然 后 调度 车 辆 到 事故 地 点 。 这 样 一 个 系 


统 的 开发 者 会 面向 警察 、 消 防 和 救护 车 服务 进行 产品 


销售 。 
资源 追踪 资源 分 配 
这 个 车 辆 调度 系统 是 一 个 通用 的 资源 分 配 和 管 caleba 


HAS ( 见 图 15-8) 的 一 个 例子 。 资 源 管 理 系统 使 用 “数据库 管理 
一 个 可 用 资源 的 数据 库 ， 并 且 包含 实现 使 用 该 系统 的 | 
企业 所 确定 的 资源 分 配 策略 的 构件 。 用 户 与 资源 管理 资源 数据 库 


系统 交互 以 请 求 和 释放 资源 ， 并 且 询 问 天 于 资源 及 其 ”图 15-8 一 个 资源 管理 系统 的 体系 结构 





图 15-7 面向 一 个 产品 线 的 基准 系统 组 织 
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可 用 性 的 问题 。 

你 可 以 在 图 15-9 中 看 到 这 个 四 层 结构 可 以 如 何 进行 实例 化 ， 其 中 显示 了 可 以 被 包含 在 
一 个 车 辆 调度 系统 产品 线 中 的 模块 。 这 个 产品 线 系统 中 每 一 层 上 的 构件 如 下 : 

1. 在 交互 层 上 ， 构 件 提 供 了 一 个 操作 人 员 显 示 界 面 以 及 与 所 使 用 的 通信 系统 之 间 的 
接口 ; 

2. 在 输入 /输出 管理 层 (第 2 层 ) 上 ， 构 件 处 理 操 作 人 员 吴 份 认证 ， 生 成 事故 以 及 调 
度 车 辆 报告 ， 支 持 地 图 输出 以 及 路 径 规 划 ， 并 且 为 操作 人 员 提 供 了 一 种 查询 系统 数据 库 的 
机 制 。 ` 
3. 在 资源 管理 层 (第 3 层 ) E; 构件 允许 对 车 辆 进行 定位 和 调度 ， 更 新 车 辆 和 装备 状 

， 并 且 对 事故 的 细 市 进行 日 志 记 录 。 

4. 在 数据 库 管 理 层 上 ， 除 了 通常 的 事务 管理 支持 ， 还 有 分 开 的 和 车辆、 装备、 地 图 数 
据 库 。 





”操作 人 员 界 面 通信 系统 接口 


输入 输出 管理 
操作 人 员 | | 地 图 和 路 径 ”| 报告 查询 
身份 认证 |， 规划 器 。 | 生成 器 管理 器 ， 


[ap | | 事故 日 赤 | emra) | eae 车 辆 | 
Omaa nmg SEE eat 





图 15-9 一 个 车 辆 调度 系统 的 产品 线 体系 结 


为 了 创建 这 个 系统 的 一 个 新 实例 ， 可 能 要 修改 各 个 构件 。 例 如 ， wei 
辆 类 型 相对 较 少 。 与 之 相 比 ， 消 防 服务 有 很 多 不 同类 型 的 专业 车 辆 但 车 辆 数量 相对 较 少 。 

此 ， 当 你 为 这 些 服务 实现 一 个 系统 时 ， 可 能 要 定义 不 同 车 辆 数据 库 结 构 。 

应 用 开发 时 可 能 会 进行 以 下 这 些 不 同类 型 的 软件 产品 线 特 化 开发 。 

1. 平台 特 化 。 应 用 面向 不 同 的 平台 开发 相应 的 版 本 。 例 如 ， 一 个 应 用 可 能 存在 针对 
Windows, Mac OS, Linux 平台 的 不 同 版 本 。 在 这 种 情况 下 ， 应 用 的 功能 通常 没有 变化 ; 只 
有 那些 与 硬件 和 操作 系统 接口 的 构件 会 被 修改 。 

2. 环境 特 化 。 应 用 创建 不 同 的 版 本 来 处 理 不 同 的 运行 环境 和 外 围 设备 。 例 如 ， 一 个 应 急 
服务 系统 可 能 存在 不 同 的 版 本 ,根据 每 个 服务 所 使 用 的 通信 硬件。 例如 ， 警 察 无 线 电 所 内 置 
的 加 密 机 制 必须 要 使 用 。 产 品 线 构件 要 进行 修改 以 反映 所 使 用 的 设备 的 功能 和 特点 。 

3. 功能 特 化 。 应 用 面向 有 着 不 同 需求 的 特定 客户 创建 不 同 的 版 本 。 例 如 ， 一 个 图 书馆 目 
动 化 系统 可 能 会 根据 该 系统 是 用 于 公共 图 书馆 、 参 考 书 阅 览 室 还 是 大 学 图 书馆 来 进行 修改 。 
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这 种 情况 下 ， 实 现 功能 的 构件 可 能 要 修改 ， 而 新 的 构件 可 能 会 加 人 到 系统 中 。 

4. 过 程 特 化 。 对 系统 进行 调整 以 应 对 不 同 的 特定 业务 过 程 。 例 如 ， 一 个 订购 系统 可 能 会 
进行 调整 以 应 对 某 一 个 公司 的 集中 式 订 购 过 程 以 及 另 一 个 公司 的 分 布 式 过 程 。 

图 15-10 描述 了 扩展 一 个 软件 产品 线 以 创建 一 个 新 应 用 的 过 程 。 该 过 程 中 所 包含 的 活动 
如 下 。 

1. 抽取 利益 相关 者 需求 。 可 以 以 一 个 常规 的 需求 工程 过 程 作为 开始 。 然 而 ， 由 于 已 经 存 
在 一 个 系统 ， 因 此 可 以 展示 该 系统 并 且 让 利益 相关 者 试验 该 系统 ， 表 达 他 们 的 需求 以 便 对 已 
提供 的 功能 进行 修改 。 

2. 选择 一 个 最 接近 需求 的 现 有 系统 。 当 创建 一 个 新 的 产品 线 成 员 时 ， 可 以 首先 选择 一 个 
最 接近 的 产品 实例 。 分 析 了 需求 之 后 ,选择 最 接近 的 产品 线 成 员 进 行 修改 。 

3. 重新 协商 需求 。 随 着 所 要 求 的 修改 的 更 多 细节 出 现 以 及 对 项 目 进行 计划 ， 一 些 需求 可 
能 需要 与 客户 重新 进行 协商 以 尽量 减少 对 基准 应 用 所 做 的 修改 。 

4. 适 配 修改 已 有 系统 。 向 已 有 的 系统 中 开发 并 加 入 新 模块， 同时 对 已 有 的 系统 模块 进行 
适 配 修改 以 满足 新 需求 。 

5. 交付 新 的 产品 族 成 员 。 将 产品 线 的 新 实例 交付 给 客户 。 可 能 需要 一 些 部 署 时 的 配置 来 
反映 系统 将 被 使 用 的 特定 环境 。 在 这 个 阶段 ， 你 应 该 记录 产品 的 关键 特征 ， 从 而 使 得 该 产品 
可 以 在 未 来 作为 其 他 系统 开发 的 基础 。 


重新 协商 需求 
选择 最 接近 目 “下 
的 系统 实例 ， 

适 配 修改 


.已 有 系统 
图 1$-10 ”产品 实例 开发 


当 创 建 一 个 产品 线 的 新 成 员 时 ， 可 能 要 在 尽量 复 用 通用 应 用 以 及 满足 利益 相关 者 的 详 
细 需 求 之 间 进 行 权 衡 。 系 统 需求 越 详细 ， 已 有 构件 满足 这 些 需 求 的 可 能 性 越 低 。 然 而 ， 如 果 
利益 相关 者 愿意 灵活 一 点 ， 限 制 所 需要 的 系统 修改 ， 那 么 通常 可 以 更 快 交 付 系统 并 且 成 本 
更 低 。 

软件 产品 线 被 设计 成 具有 重 配 置 的 能 力 。 这 种 重 配 置 可 能 包括 增加 或 移 除 系统 构件 、 为 
系统 构件 定义 参数 和 约束 、 加 入 业务 过 程 知 识 。 这 一 配置 可 以 发 生 在 开发 过 程 的 不 同 阶 段 ， 
具体 如 下 。 | 

1. 设计 时 配置 。 开 发 软件 的 组 织 机 构 开 发 、 选 取 或 适 配 修改 构件 来 为 一 个 客户 创建 一 个 
新 系统 ， 通 过 这 种 方式 修改 一 个 通用 的 产品 线 核心 。 

2. 部 团 时 配置 。 设 计 一 个 通用 系统 ， 客 户 或 与 客户 一 起 工作 的 咨询 人 员 可 以 对 其 进行 配 
置 。 关 于 客户 特定 需求 以 及 系统 运行 环境 的 知识 包含 在 通用 系统 所 使 用 的 配置 数据 中 。 

当 一 个 系统 在 设计 时 进行 配置 时 ， 供 应 商 在 一 个 通用 系统 或 者 一 个 已 有 的 产品 实例 基础 
上 开始 开发 。 供 应 商 通 过 修改 和 扩展 系统 中 的 模块 来 创建 一 个 提供 所 需要 的 客户 功能 的 特定 
系统 。 这 通常 包括 修改 和 扩展 系统 的 源 代码 ， 从 而 获得 比 部 署 时 配置 更 大 的 灵活 性 。 | 

当 无 法 使 用 一 个 系统 中 已 有 的 部 署 时 配置 手段 来 开发 一 个 系统 版 本 时 ， 可 以 使 用 设计 时 
配置 。 然 而 ， 随 着 时 间 的 流逝 ， 当 你 已 经 创建 了 多 个 具有 相似 功能 的 产品 族 成 员 时 ， 你 可 能 
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会 决定 对 核心 产品 线 进 行 重 构 以 包含 已 经 在 多 个 应 用 产品 族 成 员 中 实现 的 功能 。 这 样 就 使 得 
这 些 新 功能 可 以 在 系统 部 署 时 进行 配置 了 。 

部 署 时 配置 包括 使 用 一 个 配置 工具 来 创建 一 个 特定 的 系统 配置 ， 这 些 配 置 记录 在 一 个 配 
置 数据 库 或 者 一 组 配置 文件 中 ( 见 图 15-11). 
运行 中 的 系统 (可 能 运行 在 一 台 服 务 右 上 或 
者 作为 独立 的 系统 运行 在 个 人 电脑 上 ) 在 运 a h 
行 中 读 取 这 个 数据 库 ， 从 而 使 系统 的 功能 可 
以 根据 运行 上 下 文 进行 特 化 。 

一 个 系统 中 可 能 提供 的 部 署 时 配置 包括 
如 下 这 些 不 同 层次 。 

1. 构件 选取 ， 即 选取 系统 中 提供 了 所 需 
要 功能 的 模块 。 例 如 ， 在 一 个 病人 信息 系统 
中 ,选择 一 个 允许 将 医疗 影像 (X 光 、CT 扫 
描 等 ) 链接 到 病人 医疗 记录 的 影像 管理 构件 。 

2. 工作 流 和 规则 定义 ， 定 义 应 当 适 用 于 用 户 所 输入 的 或 者 系统 所 生成 的 信息 的 工作 流 
(信息 如 何 按照 一 个 个 阶段 进行 处 理 ) 验证 规则 。 

3. 参数 定义 ， 指 定 特定 的 系统 参数 的 值 以 反映 正在 创建 的 应 用 实例 的 需求 。 例 如 ， 可 以 
指定 允许 用 户 输入 的 数据 字段 的 最 大 长 度 或 者 附加 到 系统 上 的 硬件 的 特性 。 

对 于 大 型 系统 而 言 ， 部 署 时 配置 可 以 很 复杂 ， 可 能 要 花费 几 个 月 来 为 一 个 客户 配置 并 测 
试 一 个 系统 。 大 型 的 可 配置 系统 可 以 通过 提供 软件 工具 (例如 规划 工具 ) 来 支持 配置 过 程 。 
15.4.1 节 将 进一步 讨论 部 署 时 配置 。 这 一 讨论 覆盖 了 必须 进行 配置 以 便 在 不 同 的 运行 环境 中 
工作 的 应 用 系统 的 复 用 。 


15.4 应 用 系统 复 用 


一 个 应 用 系统 产品 是 一 个 可 以 在 不 修改 系统 源 代码 的 情况 下 通过 适 配 来 满足 不 同 客 户 
需要 的 软件 系统 。 应 用 系统 是 由 一 个 系统 供应 商 面向 通用 市 场 开发 的 ， 而 不 是 特别 为 单个 客 
户 开 发 的 。 这 些 系统 产品 有 时 候 被 称 为 商用 第 三 方 系统 ( Commercial Off-the Shelf System, 
COTS) 产品 。 然 而 ,， “商用 第 三 方 系统 ”这 个 术语 基本 都 是 在 军事 系统 中 使 用 的 ， 因 此 本 书 
倾向 于 将 这 些 系统 产品 称 为 “应 用 系统 ”。 

事实 上 所 有 的 桌面 业务 软件 以 及 许多 基于 服务 器 的 系统 都 是 应 用 系统 。 这 种 软件 被 设计 
用 于 通用 目的 ， 其 中 包括 了 很 多 特征 和 功能 。 因 此 ， 它们 具有 在 不 同 环境 中 复 用 以 及 作为 不 
同 应 用 的 一 部 分 的 潜力 。Torchiano 和 Morisio ( Torchiano and Morisio 2004 ) 也 发 现 开源 产 
品 经 常 在 不 进行 修改 以 及 不 看 源 代码 的 情况 下 使 用 。 

应 用 系统 产品 通过 使 用 内 置 的 配置 机 制 来 进行 适 配 ， 这些 机 制 人 允许 根据 特定 的 客户 需要 
对 系统 的 功能 进行 裁剪 。 例 如 ， 一 个 医院 病人 记录 系统 为 不 同类 型 的 病人 定义 了 不 同 的 输入 
表格 和 输出 报告 。 甚 他 一 些 配 置 特 征 可 能 会 允许 系统 接受 扩展 功能 ， 或 者 检查 用 户 输入 以 确 
保 其 合法 性 的 插件 。 

自 20 世纪 90 年 代 后 期 开始 ， 大 型 企业 已 经 广泛 采用 了 这 一 软件 复 用 方法 ， 因 为 与 定制 
化 的 软件 开发 相 比 ， 这 种 方法 提供 了 如 下 这 些 显著 的 收益 。 

1. 与 其 他 类 型 的 复 用 相 比 ， 可 以 更 快 地 部 署 一 个 可 靠 的 系统 。 






图 15-11 “部 署 时 配置 
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2. 有 可 能 看 到 应 用 提供 了 什么 功能 ， 因 此 可 以 更 容易 地 判断 这 些 功能 是 否 合适 。 其 他 企 
业 可 能 已 经 使 用 了 这 些 应 用 ， 因 此 有 一 些 该 系统 的 经 验 。 

3. 通过 使 用 已 有 的 软件 来 避免 一 些 开发 风险 。 然 而 ， 这 种 方法 也 有 它 自己 的 风险 ， 下 面 
会 讨论 。 

4. 业务 部 门 可 以 关注 他 们 自己 的 核心 活动 ， 而 不 用 在 信息 技术 CIT) 系统 开发 上 花费 大 
量 的 资源 。 

5. 随 着 运行 平台 的 演化 ， 技 术 更 新 可 以 得 到 简化 ， 因 为 这 些 是 应 用 系统 供应 商 的 责任 而 
不 是 客户 的 责任 。 

当然 ， 这 种 软件 工程 方法 也 有 如 下 这 些 问 题 。 

1. 通常 要 对 需求 进行 调整 以 反映 第 三 方 应 用 系统 的 功能 以 及 运行 模式 。 这 可 能 会 给 已 有 
的 业务 过 程 带 来 干扰 性 的 变化 。 

2. 应 用 系统 可 能 会 基于 一 些 现实 中 无 法 改变 的 假设 。 因 此 ， 客 户 必 须 调整 自己 的 业务 来 
反映 这 些 假 设 。 

3. 为 一 个 企业 选择 正确 的 应 用 系统 可 能 是 一 个 困难 的 过 程 ， 特 别 是 当 许多 这 类 系统 并 
没有 很 好 的 文档 描述 的 时 候 。 做 出 错误 的 选择 意味 着 可 能 无 法 让 新 系统 按照 所 要 求 的 方式 
LE. 

4. 可 能 会 缺少 支持 系统 开发 的 本 地 专家 。 其 结果 是 ， 客 户 不 得 不 依赖 于 供应 商 和 外 部 的 
咨询 人 员 来 给 出 开发 建议 。 这 些 建 议 可 能 会 倾向 于 销售 他 们 的 产品 和 服务 ， 而 没有 花费 足够 
的 时 间 来 理解 客户 的 真实 需要 。 

5. 系统 供应 商 控制 系统 的 支持 和 演化 。 这 一 过 程 中 可 能 会 做 出 一 些 导 致 客户 困难 的 
修改 。 

应 用 系统 可 以 作为 独立 的 系统 使 用 ,或 者 结合 起 来 使 用 (其 中 两 个 或 多 个 系统 集成 在 一 
起 )。 独 立 的 系统 由 一 个 通用 的 应 用 组 成 来自 于 单个 供应 商 并 且 按 照 客户 需求 进行 了 配置 。 
集成 的 系统 是 指 通 过 对 来 自 各 个 系统 (经 常 来 自 不 同 的 供应 商 ) 的 功能 进行 集成 来 创建 一 个 
新 的 应 用 系统 。 图 15-12 总 结 了 这 些 方 法 的 区 别 。15.4.2 节 将 会 讨论 应 用 系统 集成 。 


可 配置 的 应 用 系统 应 用 系统 集成 
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图 15-12 独立 的 应 用 系统 和 集成 的 应 用 系统 











15.4.1 可 配置 的 应 用 系统 


可 配置 的 应 用 系统 是 通用 应 用 系统 ， 用 于 支持 特定 的 业务 类 型 、 业 务 活动 或 者 一 个 完整 
的 业务 企业 。 例 如 ， 一 个 面向 牙科 医生 的 系统 可 以 处 理 预约 、 提 醒 、 牙 上 从 记录 、 病 人 召回 和 
账 务 处 理 。 在 更 大 的 范围 上 ， 一 个 企业 资源 规划 (Enterprise Resource Planning, ERP) 系统 
可 以 支持 一 个 大 型 企业 中 的 生产 、 订 单 、 客 户 关 系 管理 过 程 。 


300 RERAN FGRKYLE 


特定 领域 的 应 用 系统 ， 例 如 支持 业务 功能 的 系统 (例如 文档 管理 )， 提 供 了 很 多 潜在 用 
户 都 可 能 会 需要 的 功能 。 然 而 ， 它们 也 包含 了 一 些 关 于 用 户 如 何 工作 的 内 在 假设 ， 而 这 些 假 
设 可 能 会 在 特定 情况 下 导致 问题 。 例 如 ， 一 个 支持 大 学 中 的 学 生 注 册 的 系统 可 能 会 假设 学 生 
只 会 在 一 所 大 学 中 注册 一 个 学 位 。 然 而 ， 如 果 多 所 大 学 相互 合作 提供 联合 学 位 ， 那 么 在 实践 
中 有 可 能 无 法 在 系统 中 表示 这 一 细节 。 

ERP 系统 ， 例 如 SAP 和 Oracle 所 开发 的 那些 系统 ， 是 大 规模 集成 系统 ， 被 设计 用 于 文 
持 各 种 业务 实践 ， 例 如 订货 和 开票 、 库 存 管 理 、 制 造 规 划 ( Monk and Wagner 2013 )。 这 些 
系统 的 配置 过 程 会 收集 关于 客户 的 业务 和 业务 过 程 的 详细 信息 ， 并 将 这 些 信息 保存 在 配置 数 
据 库 中 。 这 经 常会 要 求 掌 握 有 关 配 置 表示 法 和 工具 的 详细 知识 ， 并 且 通 常 由 与 系统 客户 一 起 
工作 的 咨询 人 员 来 进行 。 

一 个 通用 ERP 系统 包括 一 些 模块 ， 这 些 模 块 可 以 用 不 同 的 方式 组 合 从 而 为 客户 创建 一 
个 系统 。 配 置 过 程 包括 选择 包含 哪些 模块 、 配 置 各 个 模块 、 定 义 业 务 过 程 和 业务 规则 、 定 义 
系统 数据 库 的 结构 和 组 织 。 一 个 支持 





这 个 体系 结构 的 关键 特性 如 下 。 

1. 若干 支持 不 同业 务 功能 的 模 ee ee 
块 。 这 些 是 大 粒度 的 模块 ， 支 持 企业 | 
的 整个 部 门 。 在 图 15-13 所 示 的 例子 ——— 
中 ， 系 统 中 的 模块 包括 : —P SCHR 图 15-13 一 个 ERP 系统 的 体系 结构 
购 的 模块 、 一 个 支持 供应 链 管 理 的 模 
块 、 一 个 支持 商品 配送 的 物流 模块 、 一 个 维护 客户 信息 的 客户 关系 管理 模块 。 

2. 与 每 个 模块 相关 联 的 一 组 定义 好 的 业务 过 程 模型 ， 它 们 与 模块 中 的 活动 相关 。 例 如 ， 
订购 过 程 模型 可 以 定义 如 何 创 建 并 审批 订单 。 这 其 中 会 指定 下 订单 过 程 中 所 涉及 的 角色 和 
活动 。 

3. 维护 所 有 相关 业务 功能 的 信息 的 通用 数据 库 。 因 此 ， 没 有 必要 在 不 同 部 分 的 业务 中 复 
制 相关 信息 ， 例 如 客户 详细 信息 。 

4. 适用 于 数据 库 中 所 有 数据 的 一 组 业务 规则 。 因 此 ， 当 数据 从 某 个 功能 输入 到 系统 中 
时 ， 这 些 规则 应 当 确 保 这 些 数据 与 其 他 功能 所 需要 的 数据 相 一 致 。 例 如 ， 一 个 业务 规则 可 能 
会 要 求 所 有 的 支出 报销 都 必须 由 比 报销 人 级 别 更 高 的 人 批准 。 

ERP 系统 在 几乎 所 有 大 型 企业 中 都 有 使 用 以 支持 他 们 的 部 分 或 所 有 功能 。 因 此 ， 它 们 
是 一 种 非常 广泛 使 用 的 软件 复 用 形式 。 这 种 复 用 方法 一 个 很 明显 的 限制 是 ， 客 户 应 用 的 功能 
受到 ERP 系统 的 内 置 模块 的 功能 的 限制 。 如 果 一 个 企业 需要 额外 的 功能 ， 那 么 可 能 只 有 开 
发 一 个 补充 系统 来 提供 这 个 功能 。 

此 外 ， 客 户 企 业 的 过 程 和 运行 必须 在 ERP 系统 的 配置 语言 中 进行 定义 。 这 种 语言 蕴含 
着 系统 供应 商 所 理解 的 业务 过 程 ， 而 这 些 假设 以 及 客户 业务 中 所 使 用 的 概念 和 过 程 之 间 可 能 
存在 不 匹配 。 客 户 业 务 模型 和 ERP 系统 所 使 用 的 系统 模型 之 间 的 严重 不 匹配 使 得 ERP 系统 
很 有 可 能 会 无 法 满足 客户 的 真正 需求 (Scott 1999 ) 。 

例如 ， 在 一 个 销售 给 一 所 大 学 的 ERP 系统 中 ， 一 个 基本 的 系统 概念 是 客户 。 在 这 个 系 
统 中 ， 一 个 客户 是 从 一 个 供应 商 那里 购买 商品 和 服务 的 外 部 代理 。 这 一 概念 导致 配置 该 系统 
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时 的 巨大 困难 。 大 学 实际 上 没有 客户 。 他 们 与 一 系列 人 和 组 织 有 类 似 于 客户 的 关系 ， 例 如 学 
生 、 人 研究 资助 机 构 、 教 育 机 构 等 。 这 些 关 系 都 跟 客 户 关 系 〈 其 中 一 个 人 或 企业 从 丸 一 个 人 或 
企业 那里 购买 商品 或 服务 ) 不 相符 。 在 这 个 特定 案例 中 ,他 们 花费 了 好 几 个 月 的 时 间 来 解决 
然 这 个 不 匹配 ， 然 而 最 终 的 解决 方案 也 只 能 部 分 满足 大 学 的 需求 。 

ERP 系统 通常 需要 进行 广泛 的 配置 来 使 它们 适应 安 站 系统 的 每 个 组 织 的 需求 。 这 种 配 
置 可 能 包括 : 

1. 从 系统 中 选取 所 需要 的 功能 ， 例 如 通过 确定 系统 应 该 包括 哪些 模块 ; 

2. 建立 一 个 数据 模型 ， 从 而 定义 组 织 的 数据 在 系统 数据 库 中 应 该 用 什么 样 的 结构 ; 

3. 定义 适用 于 这 些 数 据 的 业务 规则 ; 

4. 定义 所 期 望 的 与 外 部 系统 的 交互 ; 

5. 设计 输入 表单 以 及 系统 所 生成 的 输出 报告 ; 

6. 设计 符合 系统 所 支持 的 过 程 模型 的 新 业务 过 程 ; 

7. 设置 参数 ， 从 而 定义 系统 如 何在 所 依赖 的 平台 上 进行 部 车 。 

配置 设置 完成 后 ， 新 的 系统 就 可 以 进行 测试 了 。 当 系统 是 通过 配置 而 不 是 使 用 一 种 传统 
语言 编程 得 到 的 时 候 ， 测 试 是 一 个 大 问题 。 以 下 是 两 个 主要 原因 。 

1. 测试 自动 化 很 难 或 者 根本 不 可 能 。 可 能 没什么 办 法 让 测试 框架 (例如 JUnit) 访问 相 
关 的 API， 因 此 系统 必须 由 测试 人 员 向 系统 输入 数据 来 进行 手工 测试 。 此 外 ， 系 统 经 常 是 以 
非 正 式 的 方式 描述 的 ， 因 此 在 没有 最 终 用 户 的 大 力 帮 助 下 定义 测试 用 例 很 困难 。 

2. 系统 错误 经 党 很 微妙 并 且 特 定 于 业务 过 程 。 应 用 系统 或 ERP 系统 是 可 靠 的 平台 ， 因 
此 技术 系统 失效 很 少 发 生 。 所 发 生 的 问题 经 党 是 由 于 配置 系统 的 人 和 用 户 利益 相关 者 之 间 的 
误解 导致 的 。 对 最 终 用 户 过 程 的 详细 信息 不 了 解 的 系统 测试 人 员 无 法 发 现 这 些 错误 。 


15.4.2 ”集成 的 应 用 系统 


集成 的 应 用 系统 包括 两 个 或 更 多 的 应 用 系统 ， 或 者 有 时 候 ， 包 括 遗 产 系 统 。 当 没有 单个 
的 应 用 系统 满足 所 有 的 需要 ， 或 者 当 试图 将 一 个 新 应 用 系统 与 已 经 在 使 用 的 系统 相 集成 时 ， 
可 以 用 这 种 方法 。 如 果 有 定义 好 的 API 或 者 服务 接口 ， 那 么 成 员 系 统 可 以 通过 这 些 API 或 
者 服务 接口 进行 交互 。 或 者 ， 它 们 也 可 以 通过 将 一 个 系统 的 输出 与 为 一 个 系统 的 输入 连接 起 
来 ， 或 者 更 新 应 用 所 使 用 的 数据 库 ， 以 便 将 这 些 成 员 系 统 组装 起 来 。 

为 了 开发 集成 的 应 用 系统 ， 你 要 做 出 以 下 这 些 设 计 选 择 。 

1. 哪 一 个 应 用 系统 提供 了 最 合适 的 功能 ? 典型 情况 下 会 有 多 个 可 用 的 系统 产品 ， 它 们 可 
以 通过 不 同 的 方式 进行 结合 。 如 果 你 对 这 些 应 用 系统 都 没有 什么 经 验 ， 那 么 确定 哪个 产品 最 
合适 可 能 很 难 。 | 

2. 数据 将 如 何 交换 ? ANTS FS A E A RERE AA, 2 i E a AER 
PRR FARA — Rh AE AC aie EN RAR IHARAIRA. 

3. 一 个 产品 的 哪些 特征 会 被 实际 用 到 ? 各 个 应 用 系统 所 包括 的 功能 可 能 比 所 需要 的 多 ， 
而 不 同 产品 之 间 的 功能 可 能 存在 重复 。 必 须 确定 哪个 产品 中 的 哪些 特征 最 适合 于 你 的 需求 。 
如 果 有 可 能 ， 还 应 当 拒 绝对 未 使 用 功能 的 访问 ， 因 为 这 可 能 会 干扰 正常 的 系统 运行 。 

考虑 下 列 场景 中 的 应 用 系统 集成 问题 。 一 个 大 型 组 织 想 要 开发 一 个 允许 员工 在 上 自己 的 工 
作 人 台 上 下 订单 的 采购 系统 。 通 过 在 组 织 范围 内 引入 这 个 系统 ， 该 企业 预计 每 年 可 以 节省 500 
万 美元 。 通 过 集中 式 的 购买 ， 新 的 采购 系统 可 以 保证 总 是 从 提供 最 优 价格 的 供应 商 那里 进行 
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订购， 并且 可 以 减少 与 此 相关 的 管理 成 本 。 与 手工 的 系统 一 样 ， 该 系统 也 包括 从 一 个 供应 商 
那里 选择 商品 、 创 建 订 单 、 审 批 订单 、 发 送 订单 给 供应 商 、 接 收 商 品 、 确 认 应 该 支付 等 部 分 。 

该 企业 有 一 个 遗留 的 由 集中 采购 办 公 室 
使 用 的 订购 系统 。 这 个 订单 处 理 软件 与 一 个 
已 有 的 开票 和 配送 系统 相 集 成 。 为 了 创建 新 
的 订购 系统 ， 遗 留 系统 与 一 个 基于 Web 的 
电子 商务 平台 以 及 一 个 处 理 用 户 沟 通 的 电子 
邮件 系统 进行 集成 。 最终 的 采购 系统 结构 如 
图 15-14 所 示 。 

这 个 采购 系统 应 当 是 一 个 客户 -服务 器 
系统 ， 其 中 客户 问 会 使 用 标准 的 Web il w at 
和 电子 邮件 系统 。 在 服务 器 上 ， 电 子 商务 平 
台 必 须 通过 适配器 与 已 有 的 订购 系统 相 集成 。 图 15-14 ”一 个 集成 的 采购 系统 
电子 商务 系统 有 自己 的 订单 、 配 送 确认 等 格 
式 ， 这 些 都 必须 转换 为 订购 系统 所 使 用 的 格式 。 电 子 商 务 系统 使 用 电子 邮件 系统 来 向 用 户 发 
送 通知 ， 但 是 订购 系统 从 来 没有 考虑 这 个 目的 。 因 此 ， 必 须 开发 另 一 个 适配器 来 将 订购 系统 
的 通知 转换 为 邮件 消息 。 

通过 集成 已 有 的 应 用 系统 可 以 节省 数 月 ， 有 时 甚至 是 数 年 的 实现 工作 量 ， 而 且 开 发 和 部 
署 一 个 系统 的 时 间 可 以 大 幅度 减少 。 上 面 所 描述 的 这 个 采购 系统 在 一 个 很 大 的 企业 里 面 用 了 
9 个 月 完成 了 实现 和 部 署 。 而 最 初 预计 要 用 3 年 的 时 间 用 Java 开发 一 个 可 以 与 遗留 的 订购 系 
统 相 集成 的 订购 系统 。 

如 果 使 用 面向 服务 的 方法 ， 那么 应 用 系 
统 集成 还 可 以 简化 。 本 质 上 看 ， 一 个 面向 服 
务 的 方法 意味 着 允许 通过 标准 的 服务 接口 访 
问 应 用 系统 ， 而 每 个 独立 的 功能 单元 都 有 一 
个 服务 。 一 些 应 用 会 提供 服务 接 日 ,但 有 时 
候 这 个 服务 接口 必须 由 系统 集成 者 来 实现 。 
从 本 质 上 看 ， 你 必须 开发 一 个 包装 融 来 隐藏 
应 用 并 且 提 供 外 部 可 见 的 服务 ( 见 图 15-15 ) 。 
这 种 方法 对 于 必须 与 新 应 用 系统 相 集 成 的 遗 图 15-15 ”应 用 包装 
留 系统 尤其 有 价值 。 

原则 上 ， 集 成 应 用 系统 与 集成 任何 其 他 构件 都 是 一 样 的 : 必须 理解 系统 接口 并 使 用 它们 
与 软件 通信 ; 必须 在 特定 的 需求 以 及 快速 的 开发 和 复 用 之 间 进 行 权 衡 ; 必须 设计 一 个 允许 应 
用 系统 之 间 互 操作 的 系统 体系 结构 。 

然而 ， 这 些 产 品 自 喘 通常 都 是 大 型 系统 ， 它 们 经 常 作为 独立 的 系统 进行 销售 ， 这 便 引 入 
了 一 些 额 外 的 问题 。Boehm 和 Abts ( Boehm and Abts 1999 ) 强调 了 下 面 这 4 个 重要 的 系统 
集成 问题 。 

1. 对 功能 和 性 能 缺少 控制 。 昌 然 一 个 产品 所 发 布 的 接口 可 能 会 提供 所 需要 的 手段 ， 但 是 
系统 可 能 没有 适当 地 实现 或 者 可 能 会 运行 得 很 糟糕 。 产 品 可 能 存在 一 些 隐 藏 的 操作 会 干扰 它 
在 特定 情形 中 的 使 用 。 修 复 这 些 问题 对 于 系统 集成 者 可 能 很 重要 ,但 是 对 于 产品 供应 商 可 能 
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并 不 是 一 个 关注 点 。 如 果 想 复 用 应 用 系统 的 话 ， 用 户 可 能 不 得 不 为 这 些 问题 寻找 变通 方案 。 

2. 系统 互 操作 性 的 问题 。 让 各 个 应 用 系统 一 起 工作 有 时 候 很 难 ， 因 为 每 个 系统 都 包含 
一 些 关 于 自己 将 被 如 何 使 用 的 假设 。Garlan 等 人 (Garlan, Allen, and Ockerbloom 1995 ) f 
述 了 他 们 集成 4 个 应 用 系统 的 经 验 ， 他 们 发 现 其 中 3 个 产品 是 基于 事件 的 ， 但 是 使 用 了 不 同 
的 事件 模型 。 每 个 系统 都 假设 它们 对 于 事件 序列 拥有 排他 的 访问 。 其 结果 是 ， 集 成 非常 困 
难 。 项 目 需要 花费 的 时 间 是 最 初 估 计 的 $ 倍 。 项 目 进度 延长 到 了 2 年 ， 而 不 是 原来 估计 的 
人 

在 10 年 后 的 回顾 性 分 析 中 ，Garlan 等 人 (Garlan, Allen, and Ockerbloom 2009 ) 得 出 的 
结论 是 ， 他 们 所 发 现 的 集成 问题 还 没有 解决 。Torchiano 和 Morisio ( Torchiano and Morisio 
2004 ) 发 现 许 多 应 用 系统 中 缺乏 对 标准 的 遵循 ， 这 意味 着 集成 会 比 预 计 的 更 困难 。 

3. 无 法 控制 系统 演化 。 应 用 系统 的 供应 商 自 己 决定 为 应 对 市 场 压力 系统 该 如 何 变 更 。 特 
别 是 对 于 个 人 电脑 产品 ， 新 的 版 本 经 常会 频繁 发 布 而 且 可 能 会 不 与 此 前 的 版 本 兼容 。 新 的 版 
本 可 能 会 包含 一 些 和 额外 的 不 需要 的 功能 ， 而 此 前 的 版 本 可 能 会 不 可 用 或 者 不 再 支持 了 。 

4. 来 自 系 统 供应 商 的 支持 。 来 自 系统 供应 商 的 可 用 的 支持 水 平 差别 很 大 。 当 开发 者 在 没 
有 系统 的 源 代码 以 及 详细 文档 的 情况 下 出 现 问 题 时 ， 供 应 商 支 持 尤 其 重要 。 虽 然 供 应 商会 承 
诺 提 供 服 务 ， 变 化 的 市 场 和 经 济 环境 会 使 得 他 们 很 难 履行 这 一 承诺 。 例 如 ， 一 个 系统 供应 商 
可 能 会 因为 需求 量 太 少 而 决定 不 再 继续 某 个 产品 ， 或 者 被 另 一 个 不 愿意 为 已 经 销售 的 产品 提 
供 支持 的 公司 所 取代 。 

Boehm 和 Abts 估计 ， 在 很 多 情况 下 集成 化 应 用 系统 的 维护 演化 成 本 可 能 会 更 高 。 上 面 
这 些 困难 都 是 生命 周期 问题 ， 它们 并 不 仅仅 影响 系统 最 初 的 开发 。 参 与 系统 维护 的 人 中 来 目 
最 初 的 系统 开发 者 越 少 ， 集 成 系统 越 容 易 出 现 问 题 。 


要 点 


。 有 很 多 不 同 的 软件 复 用 方式 ， 从 库 中 的 类 和 方法 的 复 用 到 整个 应 用 系统 的 复 用 。 

e 软件 复 用 的 优势 包括 更 低 的 成 本 、 更 快 的 软件 开发 、 更 低 的 风险 ， 系统 可 依赖 性 也 

会 提高 。 可 以 通过 将 专家 的 专业 知识 集中 在 可 复 用 构件 的 设计 上 ， 使 专家 的 工作 更 

有 效 。 

应 用 框架 由 一 系列 具体 和 抽象 对 象 组 成 ， 它 们 通过 特 化 以 及 增加 新 的 对 象 来 进行 复 

用 。 它 们 通常 都 会 通过 设计 模式 来 将 好 的 设计 实践 包含 其 中 。 

o 软件 产品 线 是 从 一 个 或 多 个 基准 应 用 基础 上 开发 出 来 的 相关 的 应 用 。 对 一 个 通用 系 

统 进行 适 配 和 特 化 来 满足 特定 的 功能 、 目 标 平台 或 者 运行 配置 需求 。 

应 用 系统 复 用 关注 复 用 大 规模 的 成 品系 统 。 这 些 系统 提供 了 很 多 功能 ， 它 们 的 复 用 
可 以 大 幅度 减少 成 本 和 开发 时 间 。 系 统 可 以 通过 配置 单个 的 通用 应 用 系统 或 者 集成 
两 个 或 多 个 的 应 用 系统 进行 开发 。 

© 应 用 系统 复 用 的 潜在 问题 包括 缺少 对 功能 、 性 能 和 系统 演化 的 控制 ; 需要 来 自 外 部 
供应 商 的 支持 ;确保 系统 互 操作 方面 的 困难 。 


阅读 推荐 | 
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网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap 15/ 
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练习 


15.1 阻碍 软件 复 用 的 主要 技术 因素 和 非 技 术 因 素 分 别 是 什么 ”你 个 人 是 否 复 用 了 大 量 软 
件 ， 如 果 没 有 的 话 ， 为 什么 ? 

15.2 为 什么 来 自 复 用 已 有 软件 的 成 本 节省 并 不 是 简单 地 与 所 复 用 的 构件 的 规模 成 正比 ? 

15.3 说 出 4 种 你 会 建议 不 要 进行 复 用 的 情形 。 

15.4 解释 应 用 框架 中 的 “控制 转 置 ” 是 什么 意思 。 如 果 你 集成 了 两 个 独立 的 最 初 都 是 使 用 
同样 的 应 用 框架 创建 的 系统 ， 为 什么 这 一 方法 可 能 会 导致 问题 ? 

15.5 根据 第 1 章 和 第 7 章 中 所 介绍 的 气象 站 系统 的 例子 ， 为 一 个 关注 远程 监控 和 数据 收集 
的 应 用 族 提 出 一 个 产品 线 体系 结构 。 你 应 该 将 你 的 体系 结构 呈现 为 一 种 分 层 模型 ， 显 
示 每 一 层 上 可 能 包含 的 构件 。 

15.6 大 多 数 昌 面 软件 ， 例 如 字 处 理 软件 ， 都 可 以 用 一 些 不 同 的 方式 进行 配置 。 检 查 你 经 常 
会 使 用 的 软件 ， 列 出 这 些 软 件 的 配置 选项 。 说 出 一 些 用 户 在 配置 这 些 软件 时 可 能 会 碰 
到 的 困难 。 微 软 的 Office (或 者 其 他 类 似 的 开源 软件 ) 是 一 个 很 好 的 例子 。 

15.7 为 什么 许多 大 型 企业 都 选择 ERP 系统 作为 新 系统 的 基础 ? 在 一 个 组 织 中 部 署 一 
规模 ERP 系统 会 出 现 什 么 问题 ? 

15.8 ”说 出 使 用 现 有 的 应 用 系统 来 构造 系统 时 可 能 会 出 现 的 6 个 可 能 的 风险 。 企业 可 以 采取 
哪些 步骤 来 降低 这 些 风险 ? 

15.9 ”为 什么 在 通过 集成 应 用 系统 来 构造 系统 时 通常 会 需要 适配器 ? 说 出 在 实践 中 编写 适 配 
器 软件 来 链接 两 个 应 用 系统 时 可 能 会 出 现 的 3 个 问题 。 

15.10 软件 复 用 导致 了 一 些 版 权 和 知识 产权 问题 。 如 果 一 个 客户 付 钱 让 一 个 软件 合同 商 来 
开发 一 个 系统 ， 谁 有 权 复 用 所 开发 的 代码 ? 软件 合同 商 有 权 将 这 些 代码 作为 一 个 通 
用 构件 的 基础 来 使 用 吗 ? 什么 样 的 付款 机 制 可 以 用 来 补偿 可 复 用 构件 的 提供 者 ? 讨 
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论 这 些 问题 以 及 其 他 与 软件 复 用 相关 的 伦理 道德 问题 。 
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基于 构件 的 软件 工程 





目标 

本 章 的 目标 是 阐述 一 种 基于 可 复 用 的 、 标 准 化 构件 组 装 的 软件 复 用 方法 。 阅 谈 完 本 章 
， 你 将 : 

o 理解 可 以 包含 在 程序 中 作为 可 执行 元 素 的 软件 构件 的 含义 ; 

e 了 解 软件 构件 模型 的 关键 要 素 以 及 中 间 件 为 这 些 模型 提供 的 支持 ; 

o 了 解 在 基于 构件 的 软件 工程 (Component-Based Software Engineering, CBSE) 过 程 

中 复 用 的 关键 活动 和 关于 复 用 的 CBSE 过 程 ; 

o 了 解 3 种 不 同类 型 的 构件 组 装 以 及 当 组 装 构件 以 创建 新 构件 或 系统 时 必须 解决 的 一 

些 问 题 。 

基于 构件 的 软件 工程 作为 一 种 基于 复 用 软件 构件 的 软件 系统 开发 方法 ， 是 在 20 世纪 90 
年 代 末 期 出 现 的 。 它 的 产生 是 由 于 设计 者 们 在 使 用 面向 对 象 的 开发 过 程 中 所 受到 的 挫折 ， 这 
种 挫折 缘 于 面向 对 象 开 发 不 能 够 像 人 们 最 初 所 期 待 的 那样 完成 广泛 的 复 用 。 单 个 对 象 类 有 太 
多 细节 且 具 有 特定 性 ， 通 常 需要 在 编译 时 与 应 用 绑 定 。 我 们 必须 拥有 对 类 的 详细 知识 来 应 用 
它们 。 一 般 来 讲 这 意味 着 不 得 不 掌握 构件 的 源 代码 。 这 也 意味 着 ， 销 售 和 发 布 对 象 作为 单独 
的 可 复 用 的 构件 实际 上 是 不 可 行 的 。 

构件 是 比 对 象 更 高 层次 的 抽象 ， 是 由 它们 的 接口 来 定义 的 。 它 们 一 般 比 对 象 大 ， 所 有 的 
实现 细节 对 其 他 构件 是 隐藏 的 。CBSE 是 定义 、 实 现 、 集 成 或 组 装 松 散 耦 合 的 独立 构件 成 为 
系统 的 过 程 。 

对 于 大 型 商业 系统 而 言 , CBSE 已 经 成 为 重要 的 软件 开发 方法 ， 因 为 软件 系统 变 得 更 大 、 
更 复杂 ， 且 用 户 要 求 开 发 更 可 靠 、 发 布 和 部 署 更 快 的 软件 。 我 们 处 理 这 种 复杂 性 并 更 快 交 付 
软件 的 方法 是 复 用 软件 构件 ， 而 不 是 重新 实现 软件 构件 。 

基于 构件 的 软件 工程 的 要 素 有 : 

1. 完全 由 接口 进行 规格 说 明 的 独立 构件 。 构 件 接口 与 构件 实现 之 间 应 该 明确 地 分 离开 
来 ， 这 意味 着 当 用 另 一 种 方法 实现 构件 代替 其 他 的 实现 时 系统 不 发 生 任何 改变 。 

2. 构件 标准 使 构件 集成 变 得 更 为 容易 。 这 些 标准 包含 在 构件 模型 之 中 ， 在 最 低 程 度 上 规 
定 了 构件 接口 应 该 如 何 定义 ， 如 何 实现 构件 间 的 交互 。 一 些 模型 定义 了 应 该 由 所 有 符合 模型 
的 构件 所 实现 的 那些 接口 。 如 果 构 件 实现 符合 标准 ， 则 它们 的 运行 独立 于 编程 语言 。 用 不 同 
语言 编写 的 构件 可 集成 在 同一 个 系统 中 使 用 。 

3. 中 间 件 为 构件 集成 提供 软件 支持 。 为 了 使 独立 的 、 分 布 的 构件 一 起 工作 ， 需 要 有 处 理 
构件 之 间 通 信 的 中 间 件 。 支 持 构件 的 中 间 件 可 以 有 效 地 处 理 低层 的 问题 ， 并 人 允许 我 们 集中 精 
力 来 处 理 与 应 用 相关 的 问题 。 此 外 ， 支 持 构 件 的 中 间 件 可 以 提供 对 资源 分 配 、 事 务 管理 、 信 
息 安全 及 并 发 的 文 持 。 

4. 开发 过 程 适合 基于 构件 的 软件 工程 。 你 需要 一 个 开发 过 程 ， 它 允许 根据 可 用 的 构件 功 


mi 


B16% THAKRAL 307 


能 对 需求 进化 演化 。 


© CBSE 的 问题 


CBSE 现在 是 主流 的 软件 工程 方法 ， 在 创建 新 系统 时 被 广泛 使 用 。 然 而 ， 当 其 作为 一 
种 复 用 方法 使 用 特别 是 与 其 他 构件 集成 时 ， 会 出 现 一些 问 题 ， 包 括 构 件 可 入 性 、 构 件 认 
证 、 需 求 权 衡 、 构 件 属性 预测 。 


http://software-engineering-book.com/web/cbse-problems/ 





基于 构件 的 开发 体现 了 良好 的 软件 工程 实践 。 它 不 仅 对 于 使 用 构件 来 设计 系统 是 有 意义 
的 ， 即 使 你 不 是 复 用 这 些 构件 而 是 开发 这 些 构件 ， 也 是 很 有 意义 的 。 基 本 的 CBSE 是 文 持 构 
造 易 理 解 和 可 维护 软件 的 有 效 设计 原则 : 

1. 构件 是 独立 的 ,因此 它们 不 会 影响 彼此 的 操作 。 构件 实现 的 细节 是 隐藏 的 ， 构 件 实现 
的 改变 可 以 不 影响 系统 其 他 部 分 。 

2. 构件 通过 良好 定义 的 接口 进行 交互 ， 如 果 这 些 接口 能 得 到 保持 的 话 ， 构 件 便 可 以 更 换 
为 男 一 个 有 更 多 功能 或 更 先进 功能 的 构件 。 

3. 构件 基础 设施 提供 一 系列 可 用 在 应 用 系统 中 的 标准 服务 。 这 减少 了 要 开发 的 新 代码 的 量 。 

CBSE 最 初 的 动机 是 要 支持 复 用 和 分 布 式 软件 工程 。 构 件 被 看 作 是 一 个 软件 系统 的 元 
素 ， 它 可 以 由 在 不 同 的 计算 机 上 和 运行 的 其 他 构件 使 用 远程 过 程 调用 机 制 来 访问 。 每 个 复 用 构 
件 的 系统 必须 包含 该 构件 的 副本 。 这 种 构件 的 理念 扩展 了 分 布 式 对 象 的 概念 ， 就 像 分 布 式 系 
统 模型 中 的 定义 一 样 ， 如 CORBA 的 规格 说 明 ( Pope 1997 )。 已 经 开发 了 几 种 不 同 的 协议 和 
标准 支持 这 一 对 于 构件 的 观点 ， 例 如 Sun 公司 的 EJB、 微 软 的 COM 和 .NET、CORBA 的 
CCM (Lau and Wang 2007 ) 。 

不 幸 的 是 ， 参 与 提出 标准 的 公司 不 能 就 构件 的 单一 标准 达成 一 致 ， 从 而 限制 了 这 种 方法 
对 软件 复 用 的 影响 5 对 于 开发 的 构件 来 说 ， 使 用 不 同 的 方法 来 共同 工作 是 不 可 能 的 。 针 对 不 
同 的 平台 开发 的 构件 ， 例 如 .NET 或 J2EE， 不 能 互 操 作 。 而 且 ， 提 议 的 这 些 标准 和 协议 非常 
复杂 ， 很 难 理解 。 这 也 是 采用 标准 和 协议 的 一 个 障碍 。 

针对 这 些 问题 ， 发 展 了 “构件 即 服务 ”的 概念 ， 并 且 提 出 标准 来 文 持 面向 服务 的 软件 工 
程 。 构 件 即 服务 的 概念 和 构件 的 原始 概念 之 间 最 大 的 不 同 之 处 是 ， 服 务 是 独立 的 实体 ， 在 使 
用 它们 的 程序 之 外 存在 。 当 创建 一 个 面向 服务 的 系统 时 ， 开 发 者 引用 外 部 服务 ， 而 不 是 在 系 
统 中 引入 一 个 该 服务 的 拷贝 。 l 

面向 服务 的 软件 工程 是 一 种 基于 构件 类 型 的 软件 工程 。 相 比 原先 在 CBSE 中 的 建议 ， 它 
使 用 了 更 简单 的 构件 概念 。 每 个 使 用 构件 的 系统 都 宜 入 了 上 自己 版 本 的 构件 。 面 向 服务 的 方法 
正在 逐渐 将 具有 内 嵌 构 件 的 CBSE 替代 为 系统 开发 的 一 种 方法 。 在 本 章 中 , 将 讨论 具有 内 艇 
构件 的 CBSE 的 使 用 情况 ; 第 18 章 将 介绍 面向 服务 的 软件 工程 。 


16.1 构件 和 构件 模型 


在 软件 复 用 领域 ， 一 般 观点 认为 构件 是 一 个 独立 的 软件 单元 ， 可 以 与 其 他 构件 构成 一 个 
软件 系统 。 人 然而， 不 同 的 人 对 软件 构件 提出 了 不 同 的 定义 。Councill 和 Heineman ( Councill 
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_and Heineman 2001 ) 将 构件 定义 为 ; 

构件 是 一 种 遵循 菜 个 标准 构件 模型 的 软件 元 素 ， 按 照 组 装 标准 ， 无 须 修改 即 可 独立 进行 
部 署 和 组 装 

这 个 定义 实质 上 是 基于 标准 的 ， 遵 循 这 些 标准 的 软件 单元 即 为 一 个 构件 。 然 而 ，Szyperski 
(Szyperski 2002 ) 关于 构件 的 定义 却 并 未 提 及 标准 ， 而 是 将 重点 放 在 了 构件 的 关键 特征 上 : 

构件 是 具有 契约 定义 的 接口 和 显 式 的 上 下 文 依赖 ， 可 独立 进行 部 署 并 用 于 第 三 方 组 装 的 
软件 单元 。 

这 两 个 定义 都 基于 一 个 概念 ， 即 构件 作为 一 个 元 素 包 含 在 一 个 系统 中 ， 而 不 是 把 构件 作 
为 一 项 服务 被 系统 引用 。 然 而 ， 它 们 还 是 和 服务 作为 一 个 构件 的 概念 相 兼 容 的 。 

Szyperski 同时 指出 构件 没有 从 外 部 可 观察 的 状态 ， 这 意味 着 构件 的 拷贝 彼此 是 很 难 区 
分 的 。 然 而 ，_ 些 构件 模型 ， 例 如 EJB 模型 ， 允 许 有 状态 的 构件 。 因 此 这 些 与 Szyperski 的 
构件 定义 不 一 致 。 虽 然 无 状态 的 构件 使 用 起 来 更 简单 ， 但 是 存在 一 些 系统 ， 其 中 有 状态 的 构 
件 的 使 用 更 加 方便 ， 并 且 减 少 了 系统 的 复杂 性 。 

上 面 两 个 定义 的 共同 性 在 于 ， 它 们 都 认为 构件 是 独立 的 并 且 是 系统 最 基本 的 组 成 单元 。 
将 这 些 定义 综合 起 来 ， 我 们 可 以 得 出 构件 的 一 个 更 好 的 定义 。 图 16-1 展示 了 用 于 CBSE 的 
构件 的 最 重要 的 特性 。 


可 组 装 性 对 于 可 组 装 的 构件 ， 所 有 外 部 交互 必须 通过 公开 定义 的 接口 进行 。 另 外 ， 它 还 必须 提 
z 供 对 自身 信息 的 外 部 访问 ， 例 如 它 的 方法 和 属性 
为 使 之 可 部 署 ， 构 件 需要 是 自 包含 的 ， 它 必须 能 作为 一 个 独立 实体 在 提供 其 构件 模型 
可 部 署 性 | 实现 的 构件 平台 上 运行 。 因 而 意味 着 构件 总 是 二 进 制 形 式 的 且 无 须 在 部 署 前 编译 。 如 果 
一 个 构件 实现 为 一 项 服务 ， 它 不 必 由 用 户 来 部 署 ， 而 是 由 服务 的 提供 者 来 部 署 


构件 必须 是 完全 文档 化 的 ， 这 样 所 有 用 户 能 确定 是 否 构件 满足 他 们 的 需要 。 应 该 定义 
ie, Leeman 


mope | “构件 应 该 是 独立 的 ， 它 应 该 可 以 在 无 其 他 特殊 构件 的 情况 下 进行 组 装 和 部 加。 如 果 在 
某 些 情况 下 构件 需要 外 部 提供 的 服务 ， 应 该 在 “请 求 ”接口 描述 中 显 式 地 声明 





构件 标准 化 意味 着 在 CBSE 过 程 中 使 用 的 构件 必须 符合 某 种 标准 化 的 构件 模型 。 此 模 
型 会 定义 构件 接口 、 构 件 元 数据 、 文 档 管理 、 组 成 以 及 部 署 


图 16-1 构件 特性 


考察 一 个 构件 的 有 效 方 法 是 将 其 看 成 独立 的 服务 供应 者 ， 即 使 构件 是 嵌入 式 的 ， 
是 实现 为 服务 。 当 系统 需要 某 一 arm prenatal triacetate 
于 何 处 ， 也 无 须知 道 该 构件 是 用 什么 程序 语言 开发 的 。 例 如 ， 图 书馆 系统 中 的 构件 可 能 提供 
搜索 功能 ， 人 允许 用 户 搜索 不 同 图 书馆 的 目录 。 从 一 种 图 形 格式 变换 到 另 一 种 图 形 格式 的 构件 


© Councill, W. T., and G. T. Heineman. 2001. “ Definition of a Software Component and Its Elements, ” In 
Component-Based Software Engineering. edited by G T Heineman and W T Councill, 5-20. Boston:Addison 
Wesley. 

© Szyperski, C. 2002. Component Software: Beyond Object-Oriented Programming, 2nd Ed. Harlow,UK: 
Addison Wesley. 
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(如 从 TIFF 格式 到 JPEG 格式 ) 可 提供 数据 转换 功能 。 

将 构件 看 成 服务 提供 者 ， 强 调 的 是 可 复 用 构件 的 两 个 关键 特性 。 

1. 构件 是 独立 可 执行 的 实体 ， 这 是 由 它 的 接口 定义 的 。 你 不 必 知 道 构件 的 任何 源 代码 信 
息 就 可 使 用 它 。 它 可 以 作为 一 种 外 部 服务 来 引用 ,也 可 以 直接 包含 在 一 个 程序 中 。 

2. 构件 所 提供 的 服务 可 以 通过 其 接 日 得 到 ， 而 且 所 有 的 交互 都 是 通过 接口 实现 的 。 构 件 
接口 表示 为 参数 化 的 操作 ， 其 内 部 状态 是 不 会 暴露 出 来 的 。 

构件 有 两 种 关联 接口 ， 如 图 16-2 所 
示 。 这 些 接口 反映 了 构件 提供 的 服务 以 o, 

及 构件 正确 运行 所 需要 的 服务 。 te 

1.“ 提 供 ” 接 口 ， 定 义 了 构件 所 提供 
的 服务 。 这 个 接口 是 构件 的 API， 它 定 
义 了 构件 用 户 可 以 调用 的 方法 。 在 一 个 
UML 构件 图 中 ,构件 “提供 ”接口 用 一 个 圆圈 表示 ， 圆 圈 在 始 于 构件 图 标的 一 条 线段 的 尾 端 。 

2.“ 请 求 ”接口 ， 指 定 了 一 个 构件 要 进行 正确 的 操作 时 系统 其 他 构件 必须 提供 的 服务 。 
如 果 这 些 服务 不 能 实现 ， 则 构件 将 无 法 工作 。 这 并 不 影响 构件 的 独立 性 或 可 部 署 性 ， 因 为 
“请 求 ” 接 口 没 有 定义 如 何 提供 这 些 服 务 。 在 UML 中 , 一 个 “请 求 ” 接 口 的 标志 用 一 个 半 
圆 形 来 表示 ， 半 圆 位 于 始 于 构件 图 标的 一 条 线段 的 尾 端 。 注 意 :“ 提 供 ” 接 口 和 “请 求 ” 接 
口 图 标 相 配 ， 如 同 球 和 球 洞 。 

为 了 说 明 这 些 接口 ， 图 16-3 展示 了 一 个 构件 模型 ， 这 个 构件 用 于 采集 和 比较 来 自传 感 硕 
阵列 的 信息 。 它 经 过 一 段 时 间 就 自动 采集 数据 ， 然 后 根据 请 求 为 调用 构件 提供 比较 后 的 数据 。 
“提供 ”接口 包括 对 传 感 硕 进行 添加 、 移 
动 、 开 始 、 停 止 和 测试 等 方法 ，report 方 ee EA 
法 返回 所 采集 的 传 感 絮 数据 ，listAll 方法 
提供 所 有 连接 的 传 感 名 的 信息 。 尽 管 在 这 
里 没有 给 出 ， 但 这 些 方法 目 然 地 有 相关 联 sensorData 
的 参数 ， 如 定义 传感器 标识 、 位 置 等 。 ent 

“请 求 ” 接 口 是 用 来 将 构件 连接 到 传 O listAll 
感 器 上 的 ， 它 假设 传感器 有 一 个 数据 接 图 16-3 ”数据 采集 器 构件 模型 
口 (通过 sensorData 访问 ) 和 一 个 管理 接 
O (通过 sensorManagement 访问 )。 这 个 接口 的 设计 是 用 来 连接 不 同类 型 的 传 感 硕 ， 因 而 它 
就 没有 包含 像 Test 和 provideReading 等 这 样 特殊 的 传感器 操作 。 相 反 ， 一 个 特定 类 型 的 传 
感 器 操作 使 用 的 命令 嵌入 在 一 个 字符 串 中 ,这 个 字符 串 是 “请 求 ”接口 中 操作 的 参数 。 适 配 
器 构件 解析 这 个 字符 串 并 翻译 成 嵌入 的 命令 到 每 个 类 型 传感器 的 具体 控制 接口 中 。 本 章 后 面 
将 介绍 适配器 的 用 法 .以 及 采集 带 构 件 是 怎样 连接 到 适配器 上 的 ( 见 图 16-12 )。 

使 用 远程 过 程 调用 (Remote Procedure Call, RPC) 访问 构件 。 每 个 构件 都 有 唯一 的 标 
识 符 ， 使 用 这 个 标识 符 名 字 可 以 从 男 一 台 计算 机 上 调用 这 个 构件 。 被 调用 的 构件 使 用 相同 的 
机 制 访问 在 其 接口 中 定义 的 “请 求 ”构件 。 

作为 一 项 外 部 服务 的 构件 和 作为 一 个 程序 元 素 的 构件 主要 的 不 同 之 处 是 ， 服 务 是 完全 独立 
的 实体 。 它 们 没有 “请 求 ” 接 口 。 当 然 ， 它们 确实 需要 其 他 构件 来 支持 它们 的 操作 ,但 是 这 些 
构件 是 由 内 部 提供 的 。 不 同 的 程序 可 以 使 用 这 些 服 务 ， 而 无 须 实现 任何 服务 所 需 的 额外 支持 。 


“请 求 ” 接口 “提供 ” 接口 





图 16-2 构件 接口 






“提供 ”接口 

O) addSensor 
removeSensor 
〇 startSensor 
C) stopSensor 

O testSensor 

C) initialize 


可 





sensorManagement 


Data collector 
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O 构件 和 对 条 


构件 经 常用 面向 对 象 语言 来 实现 ， 有 时 候 一 个 构件 的 “提供 ”接口 的 访问 是 通过 方 
法 调用 实现 的 。 然 而 ， 构 件 和 对 象 类 不 是 一 个 东西 。 与 对 象 类 不 同 ， 构 件 可 独立 部 署 ， 不 
定义 类 型 ， 与 语言 无 关 ， 并 且 基 于 一 个 标准 的 构件 模型 。 


http://software-engineering-book.com/web/components-and-objects 







16.1.1 构件 模型 


构件 模型 定义 了 构件 实现 、 文 档 化 及 开发 的 标准 。 这 些 标 准 是 为 构件 开发 者 确保 构件 的 
互 操作 性 而 设立 的 。 它 们 也 是 为 那些 提供 中 间 件 的 构件 执行 基础 设施 供应 商 文 持 构 件 操作 而 
设立 的 。 目 前 已 经 提出 了 许多 构件 模型 ， 但 是 最 重要 的 构件 模型 是 现在 的 Web Services $R 
型 ，Sun 公司 的 EJB 模型 和 微软 的 .NET 模型 (Lau and Wang 2007 ) 。 

Weinreich 和 Sametinger ( Weinreich and 
Sametinger 2001 ) 讨论 了 一 个 理想 构件 模型 的 定制 
基本 要 素 。 图 16-4 总 结 了 这 些 模 型 要 素 。 该 命名 约定 
图 说 明 ， 构 件 模 型 的 要 素 定 义 了 构件 接口 、 
人 们 在 程序 中 使 用 构件 需 知 道 的 信息 ， 以 及 
构件 应 该 如 何 部 署 。 

1. 接口 。 构 件 是 通过 它们 的 接口 来 定义 
的 。 构 件 模型 规定 应 如 何 定 义 构 件 接口 及 在 
接口 定义 中 应 该 包括 的 要 素 ， 如 操作 名 、 参 
数 及 异常 等 。 模 型 同时 需 指定 用 于 定义 构件 了 
接口 的 语言 。 

对 于 Web 服务 来 说 ， 接 口 规格 说 明 使 用 基于 XML 的 语言 ， 如 第 18 章 所 述 。EJB 是 Java 
专 有 的 ， 所 以 Java 可 用 于 作为 接口 定义 语言 Interface Definition Language, IDL); 在 .NET 
中 ， 接 口 使 用 微软 的 通用 中 间 语 言 (Common Intermediate Language, CIL) 来 定义 。 一 些 构 
件 模 型 要 求 必 须 由 构件 定义 专门 的 接口 。 这 些 接口 与 提供 标准 化 服务 (如 安全 性 和 事务 管理 
等 ) 的 构件 模型 基础 设施 一 起 构成 构件 。 

2. 使 用 信息 。 为 使 构件 远程 分 布 和 访问 ， 需 要 给 构件 一 个 特定 的 名 字 或 句柄 。 这 个 必须 
是 全 局 唯一 的 。 例 如 , 在 EJB 中 ， 有 一 个 层次 化 的 名 字 ， 其 根 是 基于 因特网 域名 的 。 服 务 
有 一 个 唯一 的 统一 资源 标识 符 (URL). 

构件 元 数据 是 构件 本 身 相 关 的 数据 ,. 如 构件 的 接口 和 属性 信息 。 元 数据 非常 重要 ， 用 户 
可 通过 元 数据 发 现 构件 提供 的 和 所 要 的 服务 。 构 件 模 型 的 实现 通常 包括 访问 构件 的 元 数据 的 
特定 方法 (如 Java 中 所 使 用 的 反射 接口 )。 

构件 是 通用 实体 ， 在 部 署 的 时 候 ， 必 须 对 构件 进行 配置 来 适应 一 个 应 用 系统 。 例 如 ， 图 
16-3 所 示 的 数据 采集 需 构 件 需要 根据 传 感 吕 阵 列 所 限定 的 最 多 数量 进行 定制 。 因 此 ， 构 件 
模型 应 该 指定 如 何 配置 二 进 制 构件 ， 使 其 适应 特定 的 部 署 环境 。 

3. 部 署 。 构 件 模型 包括 一 个 规格 说 明 ， 此 规格 说 明 指 出 应 该 如 何 打 包 构 件 使 其 部 署 成 为 
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一 个 独立 的 可 执行 实体 。 由 于 构件 是 独立 的 实体 ， 所 以 它们 必须 与 所 有 支持 的 软件 打包 在 一 
起 ， 包 括 构件 基础 设施 所 不 提供 的 以 及 “请 求 ”接口 未 定义 的 软件 。 部 署 信息 包括 有 关 包 中 
内 容 的 信息 和 它 的 二 进 制 构成 的 信息 。 

不 可 避免 的 是 ， 当 出 现 新 的 需求 ， 构 件 就 必须 做 出 改变 或 者 被 替代 。 因 此 ， 构 件 模 型 应 
包括 允许 何 时 和 怎样 替换 构件 的 控制 规则 : 最 后 ， 构 件 模型 定义 应 该 产生 的 构件 文档 。 这 可 
以 用 于 查找 构件 和 决定 构件 是 否 适 当 。 

对 于 实现 为 程序 单元 而 不 是 外 部 服务 的 构件 来 说 ， 构 件 模型 规定 了 必须 由 支持 构件 执行 的 
中 间 件 所 提供 的 服务 。Weinreich 和 Sametinger 利 
用 操作 系统 来 类 比 解释 构件 模型 。 操 作 系统 提 
供 一 组 可 被 应 用 使 用 的 通用 服务 。 构 件 模型 实 | 构件 管理 
现 提供 类 似 的 共享 服务 给 构件 。 图 16-5 给 出 了 并 发 
由 构件 模型 实现 提供 的 某 些 服务 。 

构件 模型 实现 提供 的 服务 包括 以 下 两 种 。 平台 服务 _ 

1. 平台 服务 ， 人 允许 构 件 在 分 布 式 环境 下 通 
信和 互 操作 。 在 所 有 的 基于 构件 的 系统 中 , 这 上。 

些 是 必须 有 的 基本 服务 。 图 16-5 构件 模型 中 所 定义 的 中 间 件 服务 

2. 支持 服务 ， 这 些 是 很 多 构件 都 需要 的 共 
性 服务 。 例 如 ， 许 多 构件 需要 身份 认证 ， 以 确保 构件 服务 的 用 户 是 已 授权 用 户 。 提 供 一 组 标 
准 的 中 间 件 服务 供 所 有 构件 使 用 是 有 意义 的 。 这 些 服务 的 可 用 性 降低 了 构件 开发 的 成 本 ， 而 
且 意 味 着 可 以 避免 潜在 的 构件 间 不 兼容 。 

中 间 件 实现 共性 的 构件 服务 ， 并 提供 这 些 服务 的 接口 。 为 了 利用 构件 模型 基础 设施 所 提 
供 的 服务 ， 可 以 认为 构件 被 部 署 在 一 个 “容器 ”中 。 容 器 是 支持 服务 的 一 个 实现 加 上 一 个 接 
口 定 义 一 一 构件 必须 提供 该 接口 定义 以 便 和 容器 整合 在 一 起 。 在 概念 上 ， 当 你 向 容器 添加 构 
件 时 ， 构 件 可 以 访问 支持 服务 ， 容 器 可 以 访问 构件 接口 。 将 构件 包含 在 容器 中 意味 着 构件 可 
以 访问 支持 服务 ， 并 且 容 器 可 以 访问 构件 接口 。 在 使 用 时 ， 构 件 接口 本 身 不 能 被 其 他 构件 直 
接 访 问 ， 它 们 通过 一 个 容器 接口 进行 访问 。 容 器 接口 调用 代码 访问 内 符 构 件 的 接口 。 

容器 大 而 复杂 ， 当 在 容器 中 部 署 一 个 构件 时 ， 能 获取 所 有 中 间 件 服务 。 然 而 ， 简 单 
的 构件 可 能 并 不 需要 所 有 的 中 间 件 提供 的 设施 。 因 此 在 Web 服务 中 对 共性 服务 供应 所 采 
取 的 方式 相当 不 同 。 对 于 Web 服务 ,已 经 为 诸如 事务 管理 和 信息 安全 性 的 共性 服务 定义 
了 标准 ， 这 些 标准 已 被 实现 为 程序 库 。 如 果 你 正在 实现 服务 构件 ， 则 只 能 使 用 所 需 的 共性 
服务 。 

与 构件 模型 相关 的 服务 与 面向 对 象 框架 提供 的 设施 有 很 多 共同 之 处 ， 这 在 第 15 章 中 讨 
论 过 。 尽 管 所 提供 的 服务 可 能 不 全 面 ， 但 框架 服务 通常 比 基 于 容器 的 服务 更 有 效率 。 因 此 ， 
有 些 人 认为 最 好 使 用 诸如 SPRING ( Wheeler and White 2013 ) 等 框架 来 进行 Java 开发 ， 而 
不 使 用 EJB 中 功能 完整 的 构件 模型 。 


16.2 CBSE 过 程 


CBSE 过 程 是 软件 过 程 ， 文 持 基 于 构件 的 软件 工程 。 它 们 考虑 了 复 用 的 可 能 性 ， 以 及 
在 开发 和 使 用 可 复 用 的 构件 中 所 涉及 的 不 同 过 程 活 动 。 图 16-6 ( Kotonya 2003 ) 给 出 了 一 个 
CBSE 中 过 程 的 概览 。 从 最 高 层次 来 说 ， 存 在 两 种 类 型 的 CBSE 过 程 。 













事务 管理 资源 管理 
持久 性 信息 安全 
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， 1. 面向 复 用 的 开发 。 这 个 过 程 是 开发 将 被 复 用 在 其 他 应 用 程序 中 的 构件 或 服务 。 它 通常 
是 对 已 存在 的 构件 进行 通用 化 处 理 。 

2. 基于 复 用 的 开发 。 这 个 过 程 是 复 用 已 存在 的 构件 和 服务 来 开发 新 的 应 用 程序 。 

这 些 过 程 有 不 同 的 目标 ， 因 此 包括 不 同 的 活动 。 在 面 回 复 用 的 开发 过 程 中 ， 目 标 是 
产生 一 个 或 多 个 可 复 用 的 构件 。 你 必须 了 解 将 使 用 的 构件 ， 并 且 必 须 访 问 它 们 的 源 代 码 
来 将 它们 通用 化 。 在 基于 复 用 的 开发 过 程 中 ， 你 不 知道 什么 样 的 构件 是 可 用 的 ， 因 此 你 需 
要 去 发 现 这 些 构件 ， 然 后 最 有 效 地 利用 这 些 构件 来 设计 你 的 系统 。 你 可 能 不 必 访 问 构件 的 
源 代码 。 

从 图 16-6 看 出 ,基于 复 用 和 面向 复 用 的 基本 CBSE 过 程 支 持 那些 与 构件 获得 、 构 件 管 
理 、 构 件 认 证 有 关 的 过 程 。 


CBSE 过 程 


需求 人 员 


面向 复 用 h x 2 设计 人 员 
的 CBSE 多 P 集成 人 员 


领域 分 析 师 、 设计 | Didi nn 维护 人 员 
人 员 、 市 场 分 析 师 构件 获得 零售 商 


代理 商 


Len 外 部 资源 
构件 库 f i 库 管 员 


外 部 认证 者 k 
构件 库 上 
pss AM A NA i 


图 16-6 CBSE 过 程 





1. 构件 获得 ， 是 得 到 面向 复 用 的 构件 或 开发 一 个 可 复 用 的 构件 的 过 程 。 它 可 能 涉及 获得 
内 部 开发 的 构件 或 服务 ， 或 从 外 部 资源 找到 这 些 构件 。 

2. 构件 管理 ， 是 管理 一 个 企业 的 可 复 用 的 构件 ， 以 确保 它们 得 以 正确 分 类 和 存储 ， 使 面 
回复 用 成 为 可 能 。 

3. 构件 认证 ， 是 检查 构件 和 证 实 这 个 构件 符合 其 规格 说 明 的 过 程 。 

一 个 组 织 机 构 所 持 有 的 构件 可 能 会 存储 在 构件 库 中 ， 其 中 包括 构件 和 它们 的 使 用 信息 。 


16.2.1 面向 复 用 的 CBSE 


面向 复 用 的 CBSE 是 开发 可 复 用 的 构件 和 通过 一 个 构件 管理 系统 使 对 它们 的 复 用 成 为 可 
能 的 过 程 。 旱 期 的 CBSE 的 支持 者 ( Szyperski 2002 ) 的 观点 是 : 发 展 一 个 繁 末 的 构件 市 场 ， 
将 有 专门 的 构件 供应 商 和 构件 厂商 ， 他 们 根据 不 同 的 开发 商 来 组 织 构件 的 销售 。 软 件 开 发 商 
购买 构件 以 包含 在 系统 中 或 是 为 使 用 他 们 的 服务 而 付费 。 然 而 ， 这 个 观点 并 没有 变 成 现实 。 
目前 存在 相当 少 的 构件 供应 商 ， 购 买 构 件 也 是 很 少见 的 。 

结果 ， 面 向 复 用 的 CBSE 最 有 可 能 发 生 在 一 个 提倡 复 用 驱动 的 软件 工程 的 组 织 机 构 中 。 
这 些 公 司 有 内 部 开发 的 可 复 用 构件 库 。 然 而 ， 这 些 内 部 开发 的 构件 如 果 不 改 变 ， 通 常 是 不 可 
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复 用 的 。 它 们 经 常 包含 特定 应 用 程序 的 特征 和 接口 ， 这 些 在 其 他 的 构件 复 用 的 程序 中 可 能 是 
不 需要 的 。 

为 了 使 构件 可 复 用 ， 要 改写 和 拓展 这 些 构件 以 创建 更 通用 的 、 更 适合 复 用 的 版 本 。 显 
R, 这 有 一 个 相关 的 成 本 问题 。 首 先 ， 必 须 决 定 构件 是 否 能 复 用 ; 其 次 ， 未 来 复 用 节约 的 成 
本 是 否 能 抵 得 上 使 构件 可 复 用 的 成 本 。 

为 回答 第 一 个 问题 ， 必 须 决 定 是 否 构 件 实现 一 个 或 多 个 稳定 的 领域 抽象 。 稳 定 的 领域 
抽象 是 应 用 领域 中 变化 缓慢 的 基本 概念 。 例 如 在 银行 系统 中 ， 领 域 抽象 包括 账户 、 账 户 持 有 
者 和 账目 。 在 医院 管理 系统 中 ， 领 域 抽 象 可 能 包括 病人 、 治 疗 和 护士 。 这 些 领域 抽象 有 时 称 
为 业务 对 象 。 如 果 构 件 是 对 普遍 使 用 的 领域 抽象 或 是 一 组 相关 对 象 的 实现 ， 它 大 概 就 可 能 被 
复 用 。 

为 回答 有 关 成 本 的 问题 ， 必 须 评估 为 使 构件 可 复 用 而 需要 进行 的 变更 的 成 本 。 这 些 成 本 
包括 构件 文档 化 的 成 本 、 构 件 可 靠 性 验证 的 成 本 以 及 使 构件 更 通用 的 修改 成 本 。 提 高 构件 可 

e 去 除 那些 应 用 特定 的 方法 ; 

e 更 名 使 其 更 通用 ; 

e 添加 方法 提供 更 完备 的 功能 覆盖 ; 

e 为 所 有 方法 构造 一 致 的 异常 处 理 过 程 ; 

e 添加 “配置 ”接口 ， 人 允许 对 构件 进行 调整 以 适应 不 同 的 使 用 情况 ; 

e 集成 必要 的 构件 以 增强 独立 性 。 

异常 处 理 是 一 个 十 分 困难 的 问题 。 原 则 上 ， 所 有 异常 应 该 作为 构件 接口 的 一 部 分 。 构 
件 不 应 该 处 理 自 身 的 异常 ， 因 为 每 个 应 用 程序 都 有 自己 对 异常 处 理 的 需求 。 更 确切 地 说 ， 构 
件 应 定义 会 产生 的 异常 并 将 之 发 布 为 接口 的 一 部 分 。 例 如 ， 有 一 个 实现 堆栈 数据 结构 的 简单 
构件 ， 应 检测 和 发 布 栈 上 洪 和 下 溢 的 异常 。 然 而 实际 情况 是 ， 在 这 个 过 程 中 存在 以 下 两 个 
问题 。 

1; 发 布 所 有 的 异常 将 导致 接口 膨胀 ， 这 将 更 加 难以 理解 。 这 可 能 会 丢掉 构件 的 潜在 
AAP. 

2. 构件 的 运行 可 能 依靠 局 部 异常 处 理 ， 改 变 它 将 严重 影响 构件 的 功能 。 

因此 ， 对 于 构件 的 异常 处 理 ， 必 须 采 有 取 一 个 实用 的 方式 。 常 见 的 技术 异常 应 当 被 局 部 处 
理 ， 恢 复 构件 的 运行 很 重要 。 这 些 异 常 以 及 如 何 对 异常 进行 处 理应 该 文档 化 。 其 他 有 关 构 件 
业务 功能 的 异常 应 当 传 递 给 调用 组 件 进 行 处 理 。 

Mili A (Mili et al. 2002 ) 讨论 了 对 开发 可 复 用 构件 的 成 本 及 投资 所 能 带 来 的 收益 进 
行 估计 的 方法 。 复 用 构件 较 之 重新 开发 构件 不 仅仅 是 生产 率 问题 ， 还 包括 质量 收益 。 因 为 可 
复 用 构件 更 可 靠 ， 且 具有 市 场 时 效 性 。 这 些 额外 的 收益 来 自 于 更 快速 地 部 署 软件 。 

Mili 等 人 提出 各 种 公式 来 估算 这 些 收益 ， 正 如 第 23 章 讨 论 的 COCOMO 模型 那样 。 然 
而 ， 这 些 公式 的 参数 很 难 准确 人 和 估计， 并且 公式 必须 根据 具体 环境 进行 调整 ， 使 得 使 用 它们 很 
困难 。 可 能 只 有 极 少 软件 项 目 管理 者 使 用 这 些 模型 去 估计 从 构件 可 复 用 性 的 投资 中 得 到 的 
回报 。 

一 个 构件 是 否 可 复 用 依赖 于 它 的 应 用 领域 、 功 能 性 和 通用 性 。 如 果 其 应 用 领域 常见 ， 并 
且 这 个 构件 实现 了 这 个 领域 的 标准 功能 ， 那 么 这 个 构件 更 可 能 具有 可 复 用 性 。 当 我 们 使 构件 
具有 更 多 的 通用 性 的 时 候 ， 其 可 复 用 性 也 在 提高 。 然 而 ， 这 也 使 得 构件 具有 更 多 的 操作 ， 更 
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为 复杂 ， 更 难以 理解 和 使 用 。 

构件 的 可 复 用 性 与 构件 的 可 理解 性 之 间 不 可 避免 地 需要 折 中 。 为 了 使 构件 可 复 用 ， 必 
须 提 供 一 组 通用 接口 和 操作 ， 以 满足 构件 的 所 有 可 能 的 使 用 方式 。 可 复 用 性 增加 了 复杂 
性 ， 同 时 也 降低 了 构件 的 可 理解 性 ， 因 而 决定 何 时 和 怎样 复 用 构件 是 很 困难 的 事情 。 由 于 了 
解 可 复 用 构件 需要 时 间 ， 有 时 候 重 新 实现 一 个 具有 必要 特定 功能 的 更 简单 的 构件 更 具 成 本 
效益 。 

构件 的 男 一 潜在 的 来 源 是 现存 的 遗留 系统 。 如 第 9 章 所 讨论 的 ， 遗 留 系 统 完 成 了 很 重要 
的 业务 功能 ， 但 却 是 用 过 时 的 软件 技术 编写 的 。 其 结果 是 很 难 将 之 与 新 系统 一 起 使 用 。 但 如 
果 将 这 些 旧 系统 转化 成 构件 ， 它 们 的 功能 就 可 以 在 新 的 应 用 中 使 用 了 。 

当然 ， 这 些 遗 留 系 统 通常 没有 清晰 定义 的 “请 求 ” 和 “提供 ”接口 。 为 使 这 些 构件 可 复 
用 ， 必 须 对 它 进行 封装 ， 由 此 定义 构件 的 接口 。 该 封装 将 原 代码 的 复杂 性 隐藏 了 起 来 ， 并 为 
外 部 构件 访问 的 服务 提供 了 接口 。 虽 然 此 封装 就 是 一 个 相当 复杂 的 软件 ， 因 为 它 必 须 访问 遗 
留 系 统 的 功能 ， 然 而 ， 对 封 狐 的 开发 成 本 通常 远 低 于 对 遗留 系统 重新 实现 的 成 本 。 

一 旦 你 开发 和 测试 一 个 可 复 用 的 构件 或 服务 ， 必 须 针 对 未 来 的 复 用 来 管理 这 个 构件 或 服 
务 。 管 理 包括 : 如 何 对 构件 进行 分 类 以 便 可 以 发 现 它 ; 使 现 有 的 构件 是 可 用 的 ， 无论 它 是 作 
为 一 个 存储 库 还 是 作为 一 个 服务 ; 维护 构件 的 使 用 信息 ; 保存 不 同 的 构件 版 本 的 记录 。 如 果 
这 个 构件 是 开源 的 ， 可 以 在 一 个 公开 的 存储 库 例如 GitHub 或 者 是 Sourceforge 中 使 它 成 为 可 
用 的 。 如 果 是 计划 在 业内 使 用 ， 你 可 能 要 使 用 一 个 内 部 的 存储 库 系统 。 

做 复 用 项 目的 公司 在 构件 成 为 可 复 用 构件 之 前 ， 要 执行 某 种 形式 的 构件 认证 。 认 证 意味 
着 除了 开发 者 之 外 ， 可 能 有 些 人 要 检查 这 个 构件 的 质量 。 在 构件 成 为 可 复 用 构件 之 前 ， 测试 
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构件 以 确保 达到 一 个 可 以 接受 的 质量 标准 。 然 而 ， 这 可 能 是 个 非常 昂贵 的 过 程 ， 并 且 许 多 公 
16.2.2 ”基于 复 用 的 CBSE 

成 功 的 构件 复 用 需要 一 个 经 过 裁减 的 合适 的 开发 过 程 ， 以 便 在 软件 开发 过 程 中 包含 可 复 
用 的 构件 。 基 于 复 用 的 CBSE 过 程 必须 

、 根据 发 现 的 
给 出 了 在 CBSE 过 程 中 的 主要 活动 。 和 iii iii 
这 个 过 程 中 的 某 些 活动 ， 如 用 户 需 求 
基于 复 用 的 CBSE 与 先前 的 软件 开发 
图 16-7 基于 复 用 也 

过 程 之 间 存在 以 下 主要 不 同 点 。 a ee 
1. 最 初 开发 的 用 户 需求 只 需 是 概要 性 的 而 不 是 十 分 详细 的 ， 且 鼓励 利益 相关 者 在 定义 他 
式 开 发 ， 我 们 需要 完整 的 需求 ， 这 样 就 能 尽 可 能 多 地 识别 出 可 复 用 的 构件 。 
2. 在 过 程 的 早期 阶段 根据 可 利用 的 构件 来 细 化 和 修改 需求 。 如 果 可 利用 的 构件 不 能 满足 
用 户 需 求 ， 就 应 考虑 可 以 由 复 用 构件 支持 的 相关 需求 。 如 果 这 意味 着 能 节省 开支 且 能 快速 地 


司 简 单 地 将 测试 和 质量 检查 工作 留 给 构件 的 开发 者 。 

包括 搜索 和 集成 可 复 用 构件 的 活动 。 这 

们 的 需求 时 尽 可 能 灵活 。 太 特殊 的 需求 限制 了 能 满足 这 种 需求 的 构件 数量 。 然 而 ， 不 像 增 量 
开发 系统 ， 或 许 用 户 愿 意 改 变 想法 。 
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3. 在 系统 体系 结构 设计 完成 后 ， 会 有 一 个 进一步 的 对 构件 搜索 及 设计 精 化 的 活动 。 一 些 
似乎 可 用 的 构件 会 变 得 不 合适 或 不 能 与 其 他 已 选 构件 一 起 正常 工作 。 你 可 能 不 得 不 针对 这 些 
构件 找到 一 些 蔡 代 方 案 。 这 些 构件 的 功能 可 能 还 需要 适当 进行 修改 。 

4. 开发 就 是 将 已 发 现 的 构件 集成 在 一 起 的 组 装 过 程 。 其 中 包括 将 构件 与 构件 模型 基础 设 
施 集成 在 一 起 ， 有 时 ， 包 括 开 发 适 配 融 来 协调 不 匹配 的 构件 的 接口 。 当 然 ， 除 了 复 用 构件 所 
提供 的 功能 外 还 可 能 需要 添加 其 他 的 功能 。 

体系 结构 设计 阶段 特别 重要 ，Jacobsen 等 ( Jacobsen, Griss, and Jonsson 1997) 发 现 定 
义 一 个 和 鲁 棒 的 体系 结构 对 于 成 功 的 复 用 具有 决定 性 的 意义 。 在 这 个 体系 结构 设计 阶段 ， 将 选 
择 一 个 构件 模型 和 一 个 实现 平台 。 然 而 ,许多 公司 有 一 个 标准 的 开发 平台 (例如 .NET)， 因 
此 这 个 构件 模型 是 提前 决定 的 。 如 第 6 章 所 讲 过 的 ， 要 建立 系统 的 一 个 高 层 体系 结构 ， 并 对 
系统 的 分 布 和 控制 做 出 决断 。 

CBSE 过 程 的 一 个 独特 活动 是 为 复 用 来 识别 候选 构件 或 服务 。 这 包括 一 系列 子 活动 ， 如 
图 16-8 所 示 。 首 先 ， 你 的 注意 力 集 中 于 搜索 和 选择 ， 确 信 有 可 复 用 构件 能 满足 需求 。 显 然 ， 


应 做 些 初始 的 检查 看 构件 是 否 合 适 ， 但 不 需要 
Coon) 


做 详细 测试 。 在 后 期 阶段 ， 系 统 体系 结构 设计 
完成 后 ， 应 将 更 多 的 时 间 用 于 构件 确认 上 。 你 

需要 确信 所 识别 出 的 构件 真正 适合 你 的 应 用 ， 图 16-8 构件 识别 过 程 

右 不 能 ， 就 必须 重复 搜索 和 选择 过 程 。 

识别 构件 的 第 一 个 阶段 是 从 你 的 公司 或 者 可 靠 的 供销 商 那里 得 到 可 用 的 构件 。 正 如 前 面 
提 到 的 ， 构 件 供 应 商 相 对 较 少 ， 因 此 你 很 可 能 需要 在 自己 的 公司 寻找 已 开发 的 构件 或 者 开源 
软件 库 。 软 件 开 发 公司 可 以 建立 自己 的 可 复 用 构件 库 ， 而 不 必 冒 险 使 用 外 部 供应 商 的 构件 。 
或 者 ， 你 可 能 决定 在 Web 上 搜索 源码 库 ， 例 如 Sourceforge, GitHub, Google Code, BAK 
需要 的 这 个 构件 的 源码 是 否 是 可 用 的 。 

一 旦 构件 搜索 过 程 找 到 可 能 的 构件 ， 你 必须 挑选 出 候选 构件 。 有 些 情况 下 ， 这 是 个 比较 
容易 完成 的 任务 一 列表 上 的 构件 直接 实现 用 户 需求 ， 而 没有 竞争 构件 能 匹配 这 些 需 求 。 然 
而 在 男 外 一 些 情况 下 ， 选 择 过 程 是 非常 复杂 的 。 构 件 和 需求 之 间 没 有 一 个 清晰 的 映射 关系 。 
你 可 能 发 现 必须 用 多 个 构件 集成 在 一 起 才能 满足 一 个 特定 的 需求 或 一 组 需求 。 所 以 你 必须 决 
定 哪 种 构件 组 装 能 最 好 地 有 覆盖 你 的 需求 。 

选取 好 系统 可 能 包含 的 构件 后 ， 应 对 它们 进行 确认 以 检查 它们 是 否 像 广告 宣传 的 一 样 。 
确认 的 程度 有 赖 于 构件 来 源 。 如 有 果 所 用 构件 来 目 熟 悉 的 可 徘 厂 商 ， 就 没 必要 逐个 测试 构件 性 
能 ， 只 需 对 构件 做 集成 测试 即 可 。 相 反 ， 如 果 使 用 一 个 来 自 不 熟悉 的 供应 商 的 构件 ， 在 其 加 
人 系统 之 前 必须 坚持 对 其 进行 检查 和 测试 。 

构件 确认 包括 对 构件 开发 一 组 测试 用 例 (或 者 可 能 的 话 ， 拓 展 随 构 件 提 供 的 测试 用 例 )， 
并 开发 测试 程序 去 运行 构件 测试 。 构 件 测试 的 主要 问题 是 ， 构 件 的 规格 说 明 可 能 不 够 详细 ， 
不 足以 允许 你 开发 一 个 全 面 的 构件 测试 集 。 构 件 的 规格 说 明 总 是 非 正规 的 ， 唯 一 标准 的 可 能 
就 是 其 接口 规格 说 明 。 这 样 构件 的 信息 就 不 足以 让 你 开发 完全 的 测试 集 ， 因 此 你 很 难 确信 声 
明 的 构件 接口 正 是 你 所 需要 的 。 

在 测试 可 复 用 构件 是 你 所 需要 的 同时 ， 你 还 必须 确定 这 个 构件 不 包括 任何 恶意 的 代码 或 
你 不 需要 的 功能 。 专 业 的 开发 者 很 少 使 用 不 可 靠 来 源 的 构件 ， 尤 其 是 当 这 些 资源 没有 提供 源 
代码 时 。 因 此 ， 和 恶意 代码 问题 通常 不 会 发 生 。 然 而， 构件 可 能 通常 包括 你 不 需要 的 功能 ， 你 
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必须 检查 这 个 功能 是 否 会 阻碍 这 个 构件 的 使 用 。 

不 需要 的 功能 这 个 问题 可 能 是 构件 本 身 产生 的 。 这 个 可 能 使 构件 变 得 缓慢 ， 导 致 它 产生 
出 乎 意料 的 结果 ， 或 者 在 某 种 情况 下 ， 导 致 严重 的 系统 失效 。 图 16-9 总 结 了 一 个 在 复 用 的 
系统 中 那些 不 需要 的 功能 导致 灾难 性 软件 失效 的 情况 。 


阿 丽 亚 娜 5 型 运载 火箭 失效 


在 开发 阿 丽 亚 娜 5 型 空间 运载 火箭 的 时 候 ， 设 计 者 决定 复 用 在 阿 丽 亚 娜 4 型 中 非常 成 功 的 惯 
性 参照 系 软件 。 此 惯性 参照 系 软件 维持 火箭 的 稳定 。 他 们 决定 不 加 改变 地 复 用 此 软件 (一般人 们 
都 会 这 么 做 )， 尽 管 它 包 含 了 额外 的 功能 ， 超 出 了 阿 丽 亚 娜 3 型 的 需要 。 

在 阿 丽 亚 娜 5 型 首次 发 射 中 ， 惯 性 导航 软件 在 升 空 后 失败 ， 火 箭 因而 失去 控制 。 地 面 控制 人 
员 疝 火箭 发 送 指令 令 其 自 毁 ， 于 是 火箭 及 其 有 效 载 倚 被 摧毁 。 事 后 的 调查 发 现 ， 导 致 问题 的 原因 


是 某 个 定点 数 到 整数 转换 中 发 生 了 数 的 洲 出 ， 这 是 个 未 处 理 的 异常 。 这 导致 运行 系统 关闭 了 惯性 
参照 系 软件 系统 ， 所 以 火箭 的 稳定 性 得 不 到 维持 。 此 故障 在 阿 丽 亚 娜 4 型 中 没有 发 生 是 因为 它 的 
引擎 功率 比较 小 ， 所 转换 的 值 不 会 大 到 溢出 的 程度 。 

这 表明 了 软件 复 用 的 一 个 重要 问题 。 软 件 是 基于 系统 将 会 被 使 用 的 上 下 文 环境 的 假设 而 开发 
的 ， 而 这 些 假设 在 一 个 不 同 的 复 用 情形 下 可 能 与 实际 不 符 。 

关于 此 失效 的 更 多 信息 可 以 在 http://software-engineering-book.com/case-studies/ariane5/ 找到 。 





图 16-9 复 用 软件 确认 失效 的 例子 


阿 丽 亚 娜 5 型 运载 火箭 出 现 问题 是 因为 对 阿 丽 亚 娜 4 型 的 软件 所 做 的 假设 对 于 阿 丽 亚 娜 
5 型 是 不 适用 的 。 这 是 可 复 用 构件 的 常见 问题 。 它 们 最 初 是 针对 某 个 应 用 环境 实现 的 ， 上 自然 
地 就 嵌入 了 对 那个 环境 的 假设 。 这 种 假设 很 少 被 文档 化 ， 因 此 ， 当 构件 被 复 用 时 ， 不 可 能 设 
计 测 试 来 检查 是 否 假设 仍然 是 有 效 的 。 如 果 你 在 新 的 环境 中 复 用 一 个 构件 ， 你 可 能 不 会 发 现 
内 含 的 环境 假设 ， 直 到 你 在 一 个 运行 系统 中 使 用 这 个 构件 。 


16.3 HAR 


构件 组 装 是 指 构件 相互 直接 集成 或 是 用 专门 写 的 “胶水 代码 ”将 它们 整合 在 一 起 来 创造 
一 个 系统 或 另 一 个 构件 的 过 程 。 组 装 构 
件 有 很 多 种 不 同 的 方法 ， 正 如 图 16-10 
中 描述 的 那样 。 从 左 到 右 ， 图 中 展示 了 
顺序 组 装 、 层 次 组 装 和 对 加 组 装 。 在 下 
面 的 讨论 中 ,假设 使 用 两 个 构件 (A 和 
B) 来 组 装 一 个 新 的 构件 。 

1. 顺序 组 装 。 通 过 按 顺 序 调用 已 经 
存在 的 构件 ， 你 可 以 用 两 个 已 经 存在 的 
构件 来 创造 一 个 新 的 构件 。 你 可 以 把 这 
个 组 装 看 作 是 “提供 ”接口 的 组 装 。 也 
就 是 说 ， 调 用 构件 A 提供 的 服务 ， 然 后 用 A 返回 的 结果 调用 构件 B 提供 的 服务 。 在 顺序 组 
装 中 ， 构 件 间 不 会 相互 调用 ， 但 是 可 能 会 被 外 部 程序 调用 。 这 种 组 装 的 类 型 可 能 适用 于 作为 
程序 元 素 的 构件 或 是 作为 服务 的 构件 。 

需要 特定 的 胶水 代码 来 按照 正确 的 顺序 调用 构件 服务 以 及 确保 构件 A 提供 的 结果 和 构 
件 B 所 期 望 的 输入 相 兼 容 。 胶 水 代码 将 这 些 输出 转化 成 构件 B 需要 的 输入 。 





(1) (2) 
图 16-10 构件 组 装 的 类 型 
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2. 层次 组 装 。 这 种 情况 发 生 在 一 个 构件 直接 调用 由 男 一 个 构件 所 提供 的 服务 时 。 被 调用 
的 构件 为 调用 的 构件 提供 所 需要 的 服务 。 因 此 ， 被 调用 构件 的 “提供 ”接口 必须 和 调用 构件 
的 “请 求 ” 接 口 兼 容 。 

构件 A 直接 调用 构件 B， 如 果 它 们 的 接口 相 匹 配 ， 则 构件 A 可 以 直接 调用 构件 B， 这 
就 不 需要 额外 的 人 代码。 然而， 如 果 构 件 太 的“ 请求” 接口 和 构件 B 的 “提供 ”接口 不 匹配 ， 
则 需要 一 些 转换 代码 。 因 为 服务 没有 “请 求 ” 接 口 ， 当 构件 作为 网 络 服务 来 实现 时 ， 是 不 能 
使 用 层次 组 装 模 式 的 。 

3. 登 加 组 装 。 这 种 情况 发 生 在 两 个 或 两 个 以 上 构件 放 在 一 起 ET) 来 创建 一 个 新 构件 
的 时 候 ， 这 个 新 构件 合并 了 它们 的 功能 。 这 个 新 构件 的 “提供 ”接口 和 “请 求 ” 接 口 是 构 件 
A 和 构件 B 各自 对 应 的 接口 的 一 个 组 合 。 通 过 组 装 构件 的 外 部 接口 来 分 别 调用 构件 A 和 B。 
A 和 B 不 相互 依赖 ， 也 不 相互 调用 。 这 种 组 装 类 型 适合 于 构件 是 程序 单元 或 者 构件 是 服务 
的 情形 。 

当 创建 一 个 系统 时 ， 可 能 用 到 所 有 形式 的 构件 组 装 方式 。 对 所 有 情况 ， 你 都 必须 写 “ 胶 
水 代码 ”来 连接 构件 。 例 如 在 顺序 组 装 中 ,构件 A 的 输出 成 为 构件 B 的 输入 ， 这 就 需要 一 
个 中 间 声 明 来 调用 构件 A， 收 集结 果然 后 用 该 结果 作为 参数 来 调用 构件 B。 当 一 个 构件 调用 
男 外 一 个 构件 时 ， 你 可 能 需要 引入 一 个 过 渡 构 件 以 确保 “提供 ”接口 和 和 “请求” 接口 是 兼 
容 的 。 

当 你 编写 构件 尤其 是 为 了 组 装 来 写 构 件 时 ， 必 须 注意 设计 好 构件 接口 以 使 其 在 这 个 系统 
中 相互 匹配 。 这 样 我 们 就 可 以 很 容易 地 把 这 些 构件 组 装 为 一 个 单元 。 然 而 ， 当 独立 开发 可 复 
用 构件 时 ， 你 经 常会 面临 接口 不 兼容 的 问题 ， 即 所 要 组 装 的 构件 的 接口 不 一 致 的 问题 。 会 发 
生 3 种 不 兼容 情况 。 

1. 参数 不 兼容 。 接 口 每 一 侧 的 操作 有 相同 的 名 字 ， 但 参数 类 型 或 参数 数目 是 不 同 的 。 在 
图 16-11 中 ，addressFinder 返回 的 location 参数 和 mapDB 中 的 displayMap 和 printMap 要 求 
的 参数 并 不 相互 兼容 。 

2; 操作 不 兼容 。“ 提 供 ” 接 口 和 “请 求 ” 接 口 的 操作 名 不 同 。 这 也 是 图 16-11 所 示 构 件 
Zl] AY BE FE — AG A AN ARE o 





string location (string pn 
phoneDatabase (string command) E O ( g pn) 







a] 


addressFinder ne “a (string pn) 





string propertyType (string pn) 











displayMap (string postCode, scale) 
mapDB (string command) O 


= 


mapper printMap (string postCode, scale) 
$ 


图 16-11 带 有 不 兼容 接口 的 构件 


3. 操作 不 完备 。 一 个 构件 的 “提供 ”接口 是 男 一 个 构件 的 “请 求 ” 接 口 的 一 个 子 集 ， 或 
者 相反 。 

针对 所 有 情况 ， 都 必须 通过 编写 适配器 构件 来 解决 不 兼容 的 问题 ， 适 配器 构件 使 两 个 可 
复 用 构件 的 接口 相 一 致 。 适 配器 构件 将 一 个 接口 转换 为 男 外 一 个 接口 。 
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得 到 结果 ， 然 后 将 其 转化 为 另 一 构件 的 输入 。 在 其 他 情况 ， 适 配器 可 能 作为 构件 B 的 代理 
被 构件 A 调用 。 这 种 情况 发 生 在 如 果 A 希望 去 调用 B， 但 是 A 的 “请 求 ” 接 口 细 节 和 了 B 的 
“提供 ”接口 细节 不 匹配 的 情形 。 适 配器 通过 将 来 自 A 的 输入 参数 转换 为 B 需要 的 输入 参数 
来 协调 这 些 差异 。 然 后 就 可 调用 B， 将 服务 传达 给 A To 

为 了 说 明 适 配器 ， 考 虑 图 16-11 中 的 构件 ， 它 们 的 接口 是 不 兼容 的 。 这 可 能 是 应 急 服务 
中 所 使 用 的 系统 的 一 部 分 。 当 应 急 操作 员 接 听 呼 叫 时 ， 电 话 号 码 被 输入 到 addressFinder 构 
件 来 定位 地 址 。 然 后 ， 用 mapper 构件 打印 出 地 图 发 给 分 派 到 应 急 现场 的 车 辆 。 事 实 上 ， 构 
件 的 接口 比 这 里 给 出 的 要 复杂 得 多 ， 但 是 这 个 简化 的 版 本 有 助 于 说 清楚 适 配 郑 的 概念 。 

第 一 个 构件 addressFinder 查找 与 电话 号 人 码 相 匹配 的 地 址 。 它 还 能 返回 该 电话 号 码 相应 
的 房产 主人 。mapper 构件 使 用 邮政 编码 (在 美国 为 标准 ZIP 码 附 加 4 位 标识 房产 位 置 的 阿 
拉 伯 数字 )， 以 某 个 比例 尺 显示 或 打印 编码 所 代表 的 相关 地 区 的 街区 地 图 。 

原则 上 这 些 构件 是 兼容 的 ， 因 为 房产 位 置 包括 邮编 或 ZIP 码 。 然 而 ， 你 必须 写 一 个 叫 作 
postCodeStripper 的 适配器 构件 ， 它 从 addressFinder 得 到 位 置 数 据 并 剥离 出 邮政 编 公 。 这 一 
邮政 编码 转 而 作为 mapper 的 输入 ， 街 区 地 图 以 1 : 10 000 的 比例 显示 。 下 面 的 代码 说 明了 
实现 它 所 需要 的 调用 序列 : 

address = addressFinder.location (phonenumber); 


postCode = postCodeStripper.getPostCode (address); 
mapper.displayMap (postCode, 10000); 


使 用 适配器 构件 的 另 一 种 情况 是 在 层次 组 装 中 ， 即 某 一 构件 需 利 用 另 一 构件 ， 而 两 者 的 
“提供 ”接口 和 “请 求 ”接口 是 不 兼容 的 。 图 16-12 说 明了 适配器 的 用 法 ， 这 个 适配器 是 用 来 连 
接 数据 采集 器 和 传感器 的 。 它 们 会 用 在 一 个 野外 气象 站 系统 的 实现 中 ， 正 如 第 7 草 讨 论 的 。 














= 


sensorManagement O addSensor 


O) removeSensor 
O startSensor 

O stopSensor 

© testSensor 

©) initialize 

() report 

©) listAll 


图 16-12 ERRER R ah ER a HG A a 


(EAE FF AE A SE BE PEP a 2 ee, TH RE OR aN EA “app” fe 
口 与 传感器 构件 的 “提供 ”接口 相 一 致 。 数 据 采 集 器 构件 在 设计 上 是 采用 一 种 通用 的 “请 求 ” 
接口 ， 这 个 接口 支持 传 感 右 数据 采集 和 传感器 管理 。 对 每 一 个 操作 来 说 ， 它 的 参数 代表 具体 
传感器 指令 的 文本 字符 串 。 例 如 ， 发 布 一 个 采集 命令 ， 你 必须 写 sensorData("collect")。 正 
如 图 16-12 中 所 表示 的 ， 传 感 器 本 身 有 单独 的 操作 ， 如 start, stop 和 getdata。 

适配器 解析 输入 的 串 ， 识 别 命令 (例如 ，collect)， 然 后 调用 Sensor.getdata 来 得 到 传 感 
器 的 值 。 然 后 它 将 结果 (作为 字符 串 ) 返回 给 数据 采集 器 构件 。 这 个 接口 的 风格 意味 着 数据 
采集 器 可 以 和 不 同类 型 的 传感器 交互 。 对 于 每 个 类 型 的 传 感 硕 要 实现 一 个 单独 的 适配器 ， 它 
可 以 将 传感器 指令 从 Data collector 转换 到 实际 的 传 感 需 接 口 。 

前 面 关 于 构件 组 装 的 讨论 假设 你 可 以 从 构件 文档 中 判断 出 接口 是 否 兼 容 。 当 然 ， 接 口 的 






Data collector 
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定义 包括 操作 名 和 参数 类 型 ， 因 此 可 根据 这 些 评 估 兼 容 性 。 然 而 ， 却 不 能 够 依赖 构件 文档 判 
库 中 的 系统 。 系 统 用 户 可 以 提供 额外 的 信息 


bir At He ee A SLE 
为 了 说 明 这 个 问题 ， 考 虑 图 16-13 中 给 
出 的 组 装 例子 。 这 些 构 件 是 用 来 实现 一 个 能 g] getImage Image = | 
* 

来 描述 图 片 和 对 图 片 制作 目录 。 为 避免 混 a 

乱 ， 这 里 并 没 给 出 所 有 的 接口 方法 ， 只 简单 
给 出 几 个 方法 ， 因 为 需要 它们 来 解释 构件 文 itm ae 
档 化 问题 。Photo Library 接口 方法 是 : 





public void addItem (Identifier pid;Photograph p;CatalogEntry photodesc); 
public Photograph retrieve (Identifier pid); 
public CatalogEntry catEntry (Identifier pid); 


假设 Photo Library 中 的 addItem 方法 的 文档 如 下 : 

此 方法 将 图 片 加 入 图 片 库 ， 并 将 图 片 标识 符 和 目录 描述 符 与 图 片 关联 起 来 。 

此 描述 看 起 来 是 解释 构件 做 什么 ， 但 是 让 我 们 考虑 如 下 问题 : 

e 奇 图 片 标识 符 已 与 库 中 图 片 关 联 会 怎样 ? 

e 图 片 描述 符 与 目录 项 和 图 片 是 关联 的 吗 ? 也 就 是 说 ， 如 果 删 除 图 片 ， 是 否 也 要 删除 


目录 信息 ? 
在 addItem 的 非 正 式 描述 中 是 没有 足够 的 信息 回答 这 些 问题 的 。 当 然 ， 可 以 添加 更 多 的 
言 息 到 方法 的 自然 语言 描述 中 ,但 是 ， 总 的 来 说 ， 解 决 这 种 二 义 性 的 最 好 方法 是 使 用 形式 化 


语言 来 描述 接口 。 图 16-14 所 给 出 的 描述 是 Photo Library 的 接口 描述 的 一 部 分 ， 它 是 对 非 形 
式 化 描述 添加 了 一 些 信息 。 


— The context keyword names the component to which the conditions apply 
context addltem 


一 The preconditions specify what must be true before execution of addItem 
pre: PhotoLibrary.1libSize() > 0 
PhotoLibrary.retrieve(pid) = null 


— The postconditions specify what is true after execution 

post: 1ibSize () = 1ibSize()@pre + 1 
PhotoLibrary.retrieve(pid) = p 
PhotoLibrary.catEntry(pid) = photodesc 


context delete 


pre: PhotoLibrary.retrieve(pid) <> null ; 


post: PhotoLibrary.retrieve(pid) = nul] 
PhotoLibrary.catEntry(pid) = PhotoLibrary.catEntry(pid)@pre 
PhotoLibrary.libSize() = 1ibSize()@pre—1 





图 16-14 Photo Library 接口 的 OCL 描述 


图 16-14 中 的 描述 使 用 了 前 置 条 件 和 后 置 条 件 ， 这 是 基于 对 象 约束 语言 (Object Constraint . 
Language, OCL) 定义 的 一 套 符号 ， 而 OCL 是 UML 的 一 部 分 ( Warmer and Kleppe 2003 )。 
OCL 是 设计 用 来 描述 UML 对 象 模型 中 的 约束 的 ， 它 允许 你 表达 必 为 真 的 谓词 ， 或 者 是 在 执 
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行 某 个 方法 之 前 必 为 真 的 谓词 ， 或 者 是 在 执行 完 某 个 方法 后 必 为 真 的 谓词 。 这 些 都 是 不 变 
量 、 前 置 条 件 和 后 置 条 件 。 为 了 在 操作 前 访问 一 个 变量 的 值 ， 可 以 在 它 的 名 字 后 加 上 @pre.- 
下 面 使 用 age 作为 一 个 例子 : 


age = age@pre + 工 


此 语句 意味 者 age 的 值 在 操作 后 要 比 操作 前 多 1。 

基于 OCL 的 方法 越 来 越 多 地 使 用 在 为 UML 模型 加 入 语义 信息 ，OCL 描述 在 模型 驱动 工程 
中 可 用 于 驱动 代码 生成 器 。 一 般 方法 源 自 Meyer 的 “ 超 约 设计 ”方法 ( Meyer 1992 )， 在 这 种 方 
法 中 ， 通 信 对 象 的 接口 和 责任 (或 者 说 契约 ) 是 形式 化 定义 的 ， 并 且 被 运行 时 系统 执行 。Meyer 
认为 ， 如 果 我 们 要 开发 可 靠 的 构件 ， 那 么 “契约 设计 ”方法 就 是 绝对 必要 的 (Meyer 2003 ) 。 

图 16-14 包括 了 Photo Library 中 addItem 方法 和 delete 方法 的 规格 说 明 。 所 定义 的 方法 
是 通过 关键 词 context 来 指示 的 ， 前 置 条 件 和 后 置 条 件 是 用 pre 和 post 来 指示 的 。 

addItem 的 前 置 条 件 陈述 为 : 

1. 图 片 库 中 的 图 片 不 能 具有 与 待 加 入 图 片 相同 的 标识 符 。 

2. 库 必须 是 存在 的 一 一 假定 创建 一 个 库 就 加 入 一 个 项 在 其 中 ， 这 样 库 的 大 小 始终 大 于 0。 

addItem 的 后 置 条 件 陈 述 为 : 

1, 库 的 大 小 增 1 (因此 只 产生 一 项 )。 

2. 如 果 用 同一 个 标识 符 检 索 图 片 ， 就 可 以 得 到 新 添加 的 那个 图 片 。 

3. 如 果 再 次 用 相同 的 标识 符 在 目录 中 查找 ,就 可 以 得 到 所 生成 的 目录 项 。 

delete 的 规格 说 明 提 供 更 多 的 信息 。 前 置 条 件 陈 述 为 : 要 删除 一 个 项 ， 它 必须 在 库 中 ， 
删除 图 片 后 不 能 再 检索 到 它 ， 且 库 的 大 小 要 减 1。 然 而 ，delete 并 不 删 掉 目录 项 一 一 图 片 被 
删除 后 仍然 可 以 检索 到 它 。 其 原因 在 于 ， 你 可 能 希望 在 目录 中 维持 关于 图 片 为 何 被 删除 、 它 
的 新 位 置 等 信息 。 

当 通 过 组 装 构件 来 创建 一 个 系统 时 ， 你 会 发 现在 功能 性 需求 和 非 功 能 性 需求 之 间 ， 在 尽 
可 能 快速 移交 软件 和 创建 一 个 能 随 需 求 变更 而 进化 的 系统 之 间 ， 都 存在 着 潜在 的 冲突 。 你 将 
必须 做 出 折 中 的 地 方 包括 : 

1. 在 交付 系统 功能 性 需求 方面 哪 种 构件 组 装 方式 是 最 有 效 的 ? 

2. 哪 种 构件 组 装 方式 可 以 使 组 竣 的 构件 在 需求 变更 时 更 容易 做 出 调整 ? 

3. 组 装 系 统 将 有 哪些 总 体 特性 ”这些 总 体 特性 包括 性 能 和 可 依赖 性 。 只 有 当 整 个 系统 实 
现 后 你 才能 够 评估 这 些 特性 。 

不 笠 的 是 ， 解 决 组 装 问 题 的 方案 在 


许多 情况 下 可 能 是 相互 冲突 的 。 例 如 ， o it Lo 
考虑 如 图 16-15 中 所 描述 的 情况 ， 系 统 可 采集 管理 








通过 两 种 可 选 组 装 方式 而 创建 。 该 系统 a) 
是 一 个 数据 采集 和 报告 系统 ， 数 据 从 不 g] 

同 的 数据 源 采集 而 来 ， 存 储 到 一 个 数据 
库 ， 然 后 可 以 产生 不 同 汇总 数据 的 报告 。 m 


这 里 ， 在 适应 性 和 性 能 两 者 之 间 是 
有 潜在 冲突 的 。 图 16-15a 所 示 组 装 方 
式 适 应 性 更 强 ， 而 图 16-15b 所 示 组 装 方式 也 许 更 快 和 更 可 信 。 图 16-15a 所 示 组 装 方式 的 优 


图 16-15 数据 采集 和 报告 生成 构件 
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势 在 于 报告 和 数据 管理 是 分 离 的 ， 因 此 应 对 未 来 的 变更 更 为 灵活 。 数 据 管理 系统 可 以 被 蔡 
换 ， 且 如 果 需 要 报告 而 现 有 的 报告 系统 不 能 生成 时 ， 构 件 同样 可 被 替换 而 不 必 改 变数 据 管理 
构件 。 

图 16-15b 所 示 组 装 方式 中 ,使 用 的 是 内 艇 报告 设施 (如 微软 的 Access) 的 数据 库 构件 ， 
该 组 装 方式 的 主要 优点 在 于 构件 很 少 , -因此 就 可 能 很 快 实现 ， 因 为 没有 构件 间 太 多 的 通信 和 负 
载 。 此 外 ， 应 用 于 数据 库 的 数据 完整 性 规则 同样 也 应 用 于 报告 。 这 些 报告 不 可 能 以 不 正确 的 
方式 组 装 数据 。 在 图 16-15a 所 示 组 装 方式 中 没有 这 种 限制 ， 因 此 在 报告 中 就 更 容易 出 错 。 

总 的 说 来 ,一 种 好 的 组 装 原则 是 “关注 点 分 离 ”。 也 就 是 说 ， 应 该 用 这 样 的 方式 设计 你 
的 系统 ， 即 每 个 构件 都 有 清晰 定义 的 任务 ， 理 想 情 况 是 ， 这 些 任务 彼此 不 会 重合 。 然 而 ， 购 
买 一 个 多 功能 的 构件 会 比 购 买 两 个 或 三 个 独立 构件 更 便宜 。 而 且 ， 使 用 多 个 构件 在 可 依赖 性 
或 在 性 能 上 可 能 会 有 损失 。 


要 点 


。 基于 构件 的 软件 工程 (CBSE) 是 一 种 基于 复 用 的 方法 ， 用 这 种 方法 来 定义 、 实 现 和 

组 装 松散 耦合 的 独立 构件 ， 使 之 成 为 一 个 系统 。 

构件 是 一 个 软件 单元 ， 它 的 功能 和 可 依赖 性 完全 由 一 套 公 共 接 口 定义 。 构 件 可 以 与 

其 他 构件 相 组 装 而 无 须 考 虑 它们 的 实现 细节 ， 而 且 可 以 部 署 为 一 个 可 执行 单元 。 

构件 可 能 实现 为 程序 单元 进而 被 包含 在 系统 当中 ， 或 是 实现 为 在 系统 中 引用 的 外 部 

服务 。 

构件 模型 定义 了 一 组 构件 标准 ， 包 括 接口 标准 、 使 用 标准 和 部 署 标准 。 构 件 模 型 的 

实现 提供 了 一 套 公 共 服 务 ， 可 以 为 所 有 构件 所 用 。 

e 在 CBSE 过 程 中 ,我 们 不 得 不 将 需求 工程 过 程 与 系统 设计 交织 在 一 起 ,不 得 不 在 所 
希望 的 需求 和 从 现存 的 可 复 用 构件 能 得 到 的 服务 之 间 采 取 折 中 。 

。 构 件 组 装 是 将 构件 “ 捆 ” 到 一 起 来 创建 一 个 系统 的 过 程 。 组 装 的 类 型 包括 顺序 组 装 、 


层次 组 装 及 蠢 加 组 装 。 
。 当 组 装 不 是 专 为 你 的 应 用 写 的 可 复 用 构件 时 ， 通 常 要 编写 适配器 或 “胶水 代码 ”， 以 
便 使 不 同 构件 接口 互相 兼容 。 


e 当选 择 组 装 方式 时 ， 必 须 考 虑 系统 所 需 的 功能 性 需求 、 非 功能 性 需求 ， 以 及 当 系 统 
发 生 改变 时 ， 一 个 构件 能 被 男 一 构件 代 蔡 的 难 易 。 


阅读 推荐 


{ Component Software:Beyond Object Oriented Programming, 2nd ed 》 讨 论 了 CBSE 中 的 
技术 和 非 技术 问题 。 与 Heineman 和 Councill 的 书 相 比 ， 本 书 更 详细 地 讨论 了 专业 的 技术 ， 
还 包括 对 市 场 问题 的 透彻 讨论 。(C Szyperski, Addison Wesley, 2002 ) 

《Specification, implementation and deployment of components 》 是 一 篇 非常 好 的 关于 CBSE 
的 基本 教程 。 CACM 的 同一 期 中 包括 构件 和 基于 构件 开发 的 论文 。( I Crnkovic, B. Hnich, 
T. Jonsson, and Z. Kiziltan, Comm. ACM, 45 (10) , October 2002 ) http://dx.doi.org/10.1145/ 
570907.570928 ; 

《 Software Component Models 》 对 商用 和 研究 用 的 构件 模型 进行 了 全 面 的 讨论 ， 它 将 这 
些 模型 进行 分 类 ， 并 解释 了 它们 之 间 的 差异 。( K-K. Lau and Z. Wang, IEEE Transactions on 
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Software Engineering, 33 (10), October 2007 ) http://dx.doi. org/10.1109/TSE.2007.70726 

《 Software Components Beyond Programming: From Routines to Services 》 是 一 个 专刊 的 
开篇 文章 ， 这 期 专刊 有 几 篇 关于 软件 构件 的 文章 。 这 篇 文章 讨论 了 构件 的 演化 以 及 面向 服 
务 的 构件 正在 如 何 取代 可 执行 编程 例 程 。(I Crnkovic, J. Stafford, and C. Szyperski, IEEE 
Software, 28 (3 ), May/ June 2011 ) http://dx.doi.org/10.1109/MS.2011.62 

《 Object Constraint Language (OCL) Tutorial 》 是 对 于 对 象 约束 语言 使 用 的 很 好 的 介绍 。 
(J. Cabot, 2012 ) http://modeling-languages.com/ocl-tutorial/ 


网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap16/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/software-reuse/ 
关于 阿 丽 亚 娜 5 型 运载 火箭 事故 的 详细 讨论 : http://software-engineering-book.com/case- 


studies /ariane5/ 


练习 


16.1 为 什么 对 所 有 构件 的 交互 都 通过 “请 求 ”接口 和 “提供 ”接口 来 定义 是 重要 的 ? 

16.2 ”构件 独立 原则 表示 用 完全 不 同 的 方法 实现 的 一 个 构件 代替 男 一 个 构件 是 有 可 能 的 。 举 
例 说 明 这 样 的 构件 代 换 可 能 会 出 现 不 希望 的 后 果 ， 目 会 导致 系统 失效 。 

16.3 ”构件 作为 程序 元 素 与 作为 服务 之 间 有 什么 根本 不 同 ? 

16.4 ”为 什么 构件 应 基于 标准 构件 模型 是 很 重要 的 ? 

16.5 列举 一 个 实现 抽象 数据 类 型 (如 堆栈 或 链表 ) 的 构件 的 例子 ， 说明 为 什么 通常 可 复 用 


构件 总 是 需要 扩展 和 改写 。 
16.6 ”为 什么 没有 构件 源 代码 实现 可 复 用 构件 的 确认 是 相当 困难 的 ?以 怎样 的 形式 化 构件 规 
格 说 明 才 能 简化 确认 问题 ? 


16.7 设计 一 个 可 复 用 构件 的 “提供 ”接口 和 “请 求 ”接口 ， 这 个 构件 在 第 1 章 的 Mentcare 
系统 中 可 能 用 于 表示 一 个 病人 。 

16.8 举例 说 明 需 要 不 同类 型 的 适配器 来 文 持 顺序 组 装 、 层 次 组 装 和 笃 加 组 装 。 

16.9 设计 构件 接口 ， 该 构件 可 能 用 于 应 急 控制 室 的 系统 中 。 为 call-logging 构件 设计 接口 ， 
该 构件 记录 所 发 生 的 呼叫 ; 再 为 vehicle discovery 构件 设计 接口 ， 该 构件 在 给 定 邮 政 
编码 (ZIP 码 ) 和 事故 类 型 后 ， 找 出 最 近 的 可 用 车 辆 并 分 派 到 事故 现场 。 

16.10 有 人 提出 应 建立 独立 的 认证 机 构 。 供 应 商 可 以 提交 他 们 的 构件 给 该 机 构 ， 由 此 机 构 

验证 它 的 可 信任 性 。 这 种 认证 机 构 的 优点 和 缺点 是 什么 ? 
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分 布 式 软件 工程 





目标 

本 章 的 目标 是 介绍 分 布 式 系 统 工程 和 分 布 式 系统 体系 结构 。 阅 读 完 本 章 后 ， 你 将 : 

e 了 解 在 设计 和 实现 一 个 分 布 式 软件 系统 时 不 得 不 考虑 的 关键 问题 ; 

e 理解 客户 - 服务 器 计算 模型 和 客户 - 服务 器 系统 的 分 层 体系 结构 ; 

© 了 解 分 布 式 系统 体系 结构 的 常用 模式 ， 以 及 不 同类 型 的 系统 所 适合 的 体系 结构 模式 ; 

e 理解 软件 即 服务 的 概念 ， 提 供 了 对 远程 应 用 程序 的 基于 Web 的 访问 。 

大 多 数 基 于 计算 机 的 系统 现在 是 分 布 式 系统 。 分 布 式 系统 涉及 多 台 计 算 机 ， 而 不 是 单 
个 机 器 上 运行 的 单个 应 用 程序 。 即 使 是 看 起 来 像 在 PC 或 笔记 本 电脑 上 运行 的 独立 应 用 (如 
图 片 编辑 器 )， 也 可 能 是 分 布 式 系 统 。 它 们 在 一 个 单一 的 计算 机 系统 上 运行 ， 但 经 常 依赖 于 
远程 云 系 统 的 更 新 、 存 储 和 其 他 服务 。Tanenbaum 和 Van Steen (Tanenbaum and Van Steen 
2007 ) 给 出 了 分 布 式 系统 的 定义 : 一 个 独立 计算 机 的 集合 体 ， 给 用 户 的 感觉 却 是 面 对 单 个 完 
整 的 系统 ”。 

当 设 计 一 个 分 布 式 系统 时 ， 由 于 系统 是 分 布 式 的 ， 有 一 些 具体 的 问题 必须 考虑 。 考 虑 
这 些 问题 是 因为 系统 的 不 同 部 分 在 独立 管理 的 计算 机 上 运行 ; MA, 在 设计 中 ， 网 络 的 特性 
(例如 延迟 和 可 靠 性 ) 可 能 也 需要 考虑 到 。 

Coulouris A (Coulouris et al. 2011 ) 发 现 了 用 分 布 式 方法 开发 系统 的 如 下 5 个 优势 。 

1. 资源 共享 。 分 布 式 系统 允许 硬件 、 软 件 资源 (如 磁盘 、 打 印 机 、 文 件 和 编译 融 等 ) 共 
TEH, 这些 资源 与 网 络 上 的 计算 机 相关 联 。 

2. 开放 性 。 分 布 式 系 统 通常 都 是 开放 系统 一 一 系统 围绕 标准 的 互联 网 协议 进行 设计 ， 从 
而 使 来 自 不 同 供应 商 的 设备 和 软件 可 以 结合 起 来 。 

3. 并 发 性 。 在 分 布 式 系 统 中 ， 多 个 进程 可 以 在 网 络 的 不 同 计算 机 上 同时 运行 。 这 些 进 程 
在 其 正常 运行 期 间 可 以 (但 不 是 必需 ) 彼此 通信 。 

4. 可 伸缩 性 。 原 则 上 ， 分 布 式 系统 至 少 要 有 可 伸缩 性 ， 系 统 的 能 力 可 以 通过 增加 新 的 资 
源 来 满足 对 系统 的 新 的 需求 。 实 际 过 程 中 ， 可 伸缩 性 可 能 受到 网 络 的 限制 。 

5. 容错 性 。 多 台 计 算 机 及 其 信息 复制 能 力 意味 着 系统 对 硬件 和 软件 失效 具有 相当 的 容错 
AE FD ( 见 第 11 章 )。 在 绝 大 多 数 分 布 式 系统 中 ， 失 效 的 发 生 可 能 会 使 提供 服务 的 能 力 下 降 ， 
但 彻底 丧失 服务 能 力 只 有 在 发 生 网 络 失效 时 才 会 出 现 ?。 

分 布 式 系统 天 然 比 集中 式 系统 更 复杂 。 这 使 得 分 布 式 系统 更 难 设计 、 实 现 和 测试 。 理 
解 分 布 式 系 统 的 涌现 特性 更 加 困难 ， 因 为 系统 构件 以 及 系统 基础 设施 之 间 的 交互 很 复杂 。 例 
如 ， 系 统 性 能 取决 于 网 络 珊 宽 、 网 络 负 载 以 及 系统 中 其 他 计算 机 的 速度 ， 而 不 再 是 单个 处 理 


© Tanenbaum,A.S.,and M.Van Steen. 2007.Distributed Systems:Principles and Paradigms,2nd Ed. Upper Saddle 
River,NJ:Prentice-Hall. 

© Coulouris,G.,J.Dollimore.T.Kindberg,and G.Blair.2011.Distributed Systems:Concepts and Design,Sth Edition. 
Harlow,UK.:Addison Wesley. 
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器 的 速度 。 从 系统 的 一 个 部 分 移动 资源 到 男 一 个 部 分 可 能 会 对 系统 性 能 产生 显著 的 影响 。 

此 外 ,正如 WWW 的 所 有 用 户 所 了 解 的 ， 分布 式 系统 的 响应 是 不 可 预知 的 。 啊 应 取决 
于 系统 的 总 负载 、 系 统 体 系 结构 以 及 网 络 负 载 。 由 于 这 些 因素 都 是 在 短 时 间 内 快速 变化 的 ， 
同一 个 用 户 的 两 个 请 求 之 间 可 能 会 有 很 大 差别 。 

在 过 去 的 几 年 里 ， 影 响 分 布 式 软件 系统 的 最 重要 的 进展 是 面 加 服务 系统 和 云 计算 、 基 
础 设施 即 服 务 、 平 台 即 服务 、 软 件 即 服务 的 出 现 。 本 章 的 重点 是 分 布 式 系统 的 一 般 问题 ,但 
是 ，17.4 节 会 涉及 软件 即 服务 的 概念 ， 这 与 第 18 章 的 内 容 是 呼应 的 。 第 18 章 的 重点 是 面向 
服务 软件 工程 的 其 他 问题 。 


17.1 分 布 式 系统 


正如 本 章 的 引言 中 提 到 的 ， 分 布 式 系统 比 在 单 处 理 器 上 运行 的 系统 要 复杂 得 多 。 这 种 复 
杂 源 于 分 布 式 系统 不 可 能 有 一 个 自 项 向 下 的 控制 模型 。 系 统 中 提供 功能 的 节点 通常 是 独立 的 
系统 ， 它 们 没有 单独 管理 系统 的 权限 。 连 接 这 些 节 点 的 网 络 是 一 个 单独 管理 的 系统 。 这 个 系 
统 本 身 是 很 复杂 的 ， EE WO 二、 
会 有 不 可 预测 性 ， 系 统 的 设计 者 必须 要 考虑 到 这 一 点 ， 

在 分 布 式 系统 工程 中 ， 有 一 些 不 得 不 考虑 的 重要 的 设计 间 题 。 

1. 透明 性 。 分 布 式 系统 在 多 大 程度 上 应 该 向 用 户 呈 现 为 一 个 单个 系统 ? 对 于 用 户 何 时 了 
解 系统 的 分 布 性 是 有 益 的 ? 

2. 开放 性 。 系 统 是 否 应 该 使 用 支持 互 操作 性 的 标准 协议 来 设计 ? 是 否 应 该 使 用 更 多 的 专 
业 协 议 来 限制 设计 者 的 自由 度 ? 虽然 现在 标准 网 络 协议 已 经 广泛 使 用 ， 但 标准 网 络 协议 对 高 
级 交互 如 服务 通信 并 不 适用 。 

3. 可 伸缩 性 。 系 统 应 如 何 构 建 才 能 可 伸缩 ”也 就 是 ， 整 个 系统 如 何 来 设计 才能 在 外 部 对 
系统 的 请 求 增 加 时 增加 处 理 能 力 ? 

4. 信息 安全 性 。 如 何 定 义 和 实 现 可 用 的 信息 安全 策略 ， 并 应 用 到 一 群 独立 管理 的 系 
统 中 ? 

5 服务 质量 。 交 付 给 系统 用 户 的 服务 质量 应 如 何 定 义 ? 系统 应 如 何 实 现 才 能 给 所 有 的 用 
户 一 个 可 接受 的 服务 质量 ? 

6. 失效 管理 。 系 统 失效 如 何 检 测 、 缓 解 (使 对 系统 的 其 他 构件 造成 的 影响 最 小 ) 和 
修复 ? 










© corea 


通用 对 象 请 求 代理 体系 结构 ( Common Object Request Broker Architecture, CORBA) 
是 作为 一 个 针对 中 间 件 系统 的 规格 说 明 由 对 象 管理 组 织 (OMG) 在 20 世纪 90 年 代 提 出 
的 。 它 的 目的 是 作为 一 个 开放 标准 来 支持 中 间 件 的 开发 ， 从 而 实现 分 布 式 构件 通信 和 执行 
并 提供 一 组 可 以 由 这 些 构件 使 用 的 标准 服务 。 

目前 已 经 有 了 多 个 CORBA 的 实现 ， 但 是 这 些 系统 并 没有 得 到 广泛 应 用 。 用 户 倾向 于 使 
用 专用 的 商业 化 系统 (例如 Microsoft 或 Oracle 提供 的 系统 )， 或 者 转向 面向 服务 的 体系 结构 。 
http://software-engineering-book.com/web/corba/ 
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理想 情况 下 ， 系 统 是 分 布 式 的 这 一 点 对 于 用 户 应 该 是 透明 的 。 这 意味 着 用 户 会 把 系统 看 
成 一 个 单一 的 系统 ， 这 个 单一 的 系统 的 行为 不 会 受到 系统 分 布 方式 的 影响 。 然 而 ， 事 实 上 这 
是 不 可 能 的 ， 因 为 系统 整体 并 没有 集中 控制 。 因 此 ， 一 个 系统 中 的 各 个 构件 在 不 同时 候 的 行 
为 可 能 各 不 相同 。 此 外 ， 由 于 信号 在 网 络 中 的 传输 需要 一 定 的 时 间 长 度 ， 网 络 延迟 是 不 可 如 
免 的 。 延 迟 的 长 度 依赖 于 系统 中 资源 的 位 置 、 用 户 网 络 连接 的 质量 和 网 络 负载 。 

为 了 使 分 布 式 系统 透明 ( 即 隐 藏 其 分 布 式 特性 )， 必 须 隐 藏 底层 分 布 。 你 可 以 通过 抽象 
隐藏 系统 资源 ， 以 使 得 这 些 资源 的 位 置 和 实现 可 以 在 不 影响 分 布 式 应 用 的 情况 下 进行 变化 。 
中 间 件 (将 在 17.1.2 节 中 讨论 ) 用 于 将 程序 中 引用 的 逻辑 资源 映射 到 实际 的 物理 资源 上 ， 并 
且 管 理 这 些 资源 之 间 的 交互 。 

实际 上 ， 一 个 系统 完全 透明 是 不 可 能 的 ， 通 常 ， 用 户 会 意识 到 他 们 正在 与 一 个 分 布 式 系 
统 打 交道 。 因 此 ， 你 可 能 会 决定 最 好 是 向 用 户 显示 这 是 个 分 布 式 系统 。 那 么 ， 他 们 就 可 以 为 
分 布 式 系统 所 可 能 带 来 的 后 果 (比如 网 络 延迟 、 远 程 节点 失效 等 ) 做 准备 。 

开放 性 的 分 布 式 系统 是 依据 普遍 接受 的 标准 来 建立 的 系统 。 这 意味 着 供应 商 提供 的 构件 
可 以 整合 到 系统 中 而 且 可 以 和 其 他 系统 构件 互 操 作 。 在 网 络 层面 ， 开 放 性 现在 理所当然 地 被 
认为 要 遵从 互联 网 协议 ， 但 是 在 构件 层面 ， 开 放 性 还 没有 普及 。 开 放 性 意味 着 系统 构件 可 以 
使 用 任何 编程 语言 独立 开发 ， 并 且 如 果 这 些 构件 符合 标准 ， 将 可 以 和 其 他 构件 一 起 运行 。 

20 世纪 90 年 代 CORBA 标准 ( Pope，1997 ) 制定 ， 旨 在 实现 开放 性 ,但 是 从 未 达到 临 
界 规模 。 相 反 ， 许 多 公司 选择 使 用 Sun 公司 (现在 的 Oracle) 和 微软 公司 私有 的 构件 标准 来 
开发 系统 。 这 些 标准 提供 了 更 好 的 软件 实现 和 软件 支持 以 及 对 工业 协议 更 好 的 长 期 支持 。 

面向 服务 体系 结构 的 Web 服务 标准 (在 第 18 章 中 讨论 ) 有 可 能 发 展 成 为 开放 的 标 
准 。 然 而 ,这些 标 准 因 为 效率 低下 而 有 很 大 的 阻力 。 一 些 面向 服务 系统 的 开发 者 选择 被 称 
作 RESTful 的 协议 来 作为 替代 品 ， 因 为 这 些 协 议 本 和 喘 要 比 Web 服务 协议 的 开销 低 很 多 。 但 
RESTful 协议 也 未 标准 化 。 

系统 的 可 伸缩 性 反映 了 系统 能 在 外 部 需求 增加 的 情况 下 提供 高 质量 的 服务 的 能 力 。 可 伸 
缩 性 的 三 个 维度 是 规模 、 分 布 和 可 管理 性 。 

1. 规模 。 系 统 应 该 增加 更 多 的 系统 资源 来 应 对 越 来 越 多 的 用 户 。 理 想 情况 下 ， 随 着 用 户 
数量 的 增加 ， 系 统 应 该 自动 增加 规模 来 处 理 用 户 数量 的 增加 。 

2. 分 布 。 应 当 可 以 在 不 影响 系统 性 能 的 情况 下 实现 系统 构件 地 理 上 的 分 散 部 署 。 当 增加 
新 构件 时 ， 应 当 不 用 关心 它们 的 位 置 。 大 公司 可 以 经 常 利 用 他 们 分 布 在 世界 各 地 不 同 设施 上 
的 计算 资源 。 

3. 可 管理 性 。 即 使 系统 的 各 部 分 位 于 独立 组 织 中 ， 也 可 以 随 着 系统 规模 的 增 大 而 管理 
该 系统 。 这 是 规模 上 最 困难 的 挑战 之 一 ， 因 为 它 涉 及 管理 人 员 沟 通 和 商定 管理 政策 。 在 实践 
中 ， 系 统 的 可 管理 性 通常 是 制约 系统 可 扩展 程度 的 重要 因素 。 

所 谓 的 规模 ， 有 增强 扩展 (scaling up) 和 增加 扩展 (scaling out) 的 区 别 。 增 强 扩展 意 
味 着 用 更 强大 的 资源 替换 系统 中 的 资源 。 例 如 ， 你 或 许 会 把 服务 器 的 内 存 由 16GB 增加 到 
64GB。 增 加 扩展 是 指 回 系 统 增 加 更 多 的 资源 (例如 ， 增 加 一 个 额外 的 服务 器 与 现存 的 服务 
需 一 起 工作 )。 增 加 扩展 通常 要 比 增强 扩展 更 有 成 本 效益 ， 但 是 这 意味 着 系统 要 设计 得 能 并 
行 处 理 才 行 。 

在 本 书 的 第 二 部 分 中 ,已 经 讨论 了 一 般 的 信息 安全 问题 和 信息 安全 工程 的 问题 。 但 是 ， 
与 集中 式 系统 相 比 ， 分 布 式 系统 可 能 遭 到 攻击 的 方式 就 会 明显 增加 。 如 果 系 统 的 一 部 分 被 成 
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功 的 攻击 ， 那 么 攻击 者 很 可 能 以 此 作为 “后 门 ” 来 入 侵 系统 的 其 他 部 分 。 

分 布 式 系统 必须 防御 以 免 遭 到 以 下 类 型 的 攻击 : 

1. 拦截 ， 系 统 部 件 之 间 的 通信 被 攻击 者 拦截 ， 因 此 将 会 丧失 机 密 性 。 

2. 中 断 ， 系 统 的 服务 遭 到 攻击 并 且 不 能 按照 预期 来 提供 服务 。 拒 绝 服务 攻击 包括 使 用 非 
法 请 求 稳 击 一 个 节点 ， 使 得 该 节点 不 能 处 理 合 法 的 请 求 。 

3. 更 改 ， 系 统 中 的 服务 和 数据 被 攻击 者 修改 。 

4. 伪造 ， 攻 击 者 生成 本 不 应 该 存在 的 信息 并 且 使 用 这 些 信 息 获得 一 些 权限 。 例 如 ， 一 个 
攻击 者 可 能 会 生成 一 个 不 真实 的 密码 人 口 并 借 此 访问 系统 。 

分 布 式 系统 最 大 的 难点 是 建立 一 个 能 可 靠 地 应 用 于 系统 中 所 有 构件 的 信息 安全 策略 。 如 
第 11 章 所 述 ， 一 个 信息 安全 策略 规定 了 一 个 系统 所 能 达到 的 安全 级 别 。 信 息 安全 机 制 ， 比 
如 加 密 和 身份 认证 ， 被 用 来 执行 信息 安全 策略 。 在 分 布 式 系统 中 的 难点 是 ， 由 于 不 同 的 机 构 
可 能 拥有 各 自 一 部 分 系统 。 这 些 机 构 或 许 有 互 不 兼容 的 信息 安全 策略 和 信息 安全 机 制 。 不 得 
不 制定 安全 协议 以 允许 系统 一 起 工作 。 

分 布 式 系统 提供 的 服务 质量 (QoS) 反映 了 系统 的 一 种 能 力 ， 即 可 靠 地 提供 服务 并 使 得 响 
应 时 间 和 吞吐 量 对 于 用 户 来 说 都 是 可 接受 的 。 理 想 情 况 下 ， 服 务 质量 需求 应 该 事先 明确 定义 并 
且 设 计 和 配置 系统 来 提供 这 样 的 服务 质量 。 不 幸 的 是 ， 这 通常 是 不 现实 的 ， 有 以 下 两 个 原因 。 

1. 设计 和 配置 系统 提供 高 负载 下 的 高 服务 质量 是 不 符合 成 本 效益 的 。 高 负载 意味 着 需要 
更 多 的 资源 来 确保 合理 的 响应 时 间 。 云 计算 的 出 现 使 得 这 一 问题 得 到 了 缓解 ， 云 服务 器 可 以 
按照 所 需要 的 时 长 从 云 提供 商 那里 租用 。 当 外 部 请 求 增加 时 ， 可 以 自动 增加 更 多 的 服务 器 。 

2. 服务 质量 参数 可 能 会 相互 矛盾 。 例 如 ， 可 靠 性 的 提升 可 能 意味 着 吞吐 量 的 减少 ， 这 是 
由 于 引进 了 检查 程序 来 保证 所 有 的 系统 输入 都 是 合法 的 。 

当 系统 处 理 时 间 敏 感 的 数据 (如 语音 或 视频 流 ) 时 ， 服 务 质量 是 至 关 重要 的 。 在 这 种 情况 
下 ， 如 果 服 务 质量 降 到 了 立 值 以 下 ， 那 么 语音 或 视频 质量 可 能 会 下 降 到 无 法 理解 的 地 步 。 处 理 语 
音 和 视频 的 系统 中 应 该 包含 负责 服务 质量 协商 和 管理 的 构件 。 这 些 构件 应 当 根 据 可 用 的 资源 对 服 
务 质量 需求 进行 评 佑 ， 如 果 需 求 无 法 满足 ， 那 么 要 协商 获得 更 多 的 资源 或 者 降低 服务 质量 目标 。 

在 分 布 式 系统 中 出 现 失效 是 不 可 避免 的 ， 所 以 系统 在 设计 上 必须 要 适应 这 些 失 效 。 失 效 
是 无 处 不 在 的 ， 以 至 于 分 布 式 系统 的 著名 研究 者 Leslie Lamport 对 分 布 式 系统 提出 了 一 个 著 
名 的 定义 : 

只 有 当 一 个 你 从 未 听 说 过 的 系统 崩溃 阻止 你 做 任何 工作 的 时 候 ， 你 才 知 道 你 所 拥有 的 是 
ADA RK ABE. 

现在 更 真实 的 情况 是 ， 越 来 越 多 的 系统 在 云 中 执行 。 失 效 管理 包括 应 用 容错 技术 (在 第 
11 章 提 到 )。 因 此 ， 分布 式 系统 应 当 包 含 监测 系统 构件 是 否 失效 的 机 制 , 应 当 在 失效 发 生 时 
继续 提供 尽 可 能 多 的 服务 ， 应 当 尽 量 自动 地 从 失效 中 恢复 。 云 计算 的 一 个 重要 优点 是 它 大 大 
降低 了 提供 完 余 系统 构件 的 成 本 。 


17.1.1 交互 模型 


分 布 式 计算 系统 中 的 计算 机 之 同 可 能 会 发 生 两 种 基本 类 型 的 交互 : 过 程式 交互 和 基于 消 
息 的 交互 。 过 程式 交互 指 的 是 一 台 计 算 机 调用 其 他 计算 机 提供 的 一 个 已 知 的 服务 并 等 竺 服务 


© Leslie Lamport,in Ross J.Anderson. > ‘curity Engineering:A Guide to Building Dependable Distributed 
Systems(2nd ed.),Wiley(April 14,2008). 
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提供 。 基 于 消息 的 交互 指 的 是 “发 送 ”计算 机 在 消息 中 定义 所 需要 的 信息 并 发 送 给 另 一 台 计 
算 机 。 较 之 对 另 一 台 机 器 的 过 程 调用 ， 消 息 总 是 在 一 个 单独 的 交互 中 传送 更 多 的 信息 。 

为 了 说 明 过 程式 交互 和 基于 消息 的 交互 的 区 别 ， 我 们 考虑 在 餐馆 中 点 菜 的 情形 。 当 你 和 
服务 员 交 谈 时 ， 你 是 在 一 系列 同步 的 过 程式 交互 


中 指定 你 要 的 东西 。 你 做 出 了 请 求 ， 服务 员 收 到 P2” 用 餐 者 
请 求 ; 你 做 出 另 一 请 求 ， 请 求 被 收 到 ; 等 等 。 这 + z 
好 比 软件 系统 中 的 构件 交互 ， 其 中 一 个 构件 调用 您 喜欢 吃 什么 ? 

来 自 其 他 构件 的 方法 。 服 务 员 记 下 你 所 点 的 菜 ， Si 


以 及 和 你 一 起 的 其 他 人 所 点 的 菜 ， 然 后 服务 员 将 


包括 了 所 点 的 每 个 菜 的 细节 的 消息 传递 给 厨房 员 en Be 
工 以 准备 食物 。 本 质 上 讲 ， 服 务 员 传递 消息 给 后 EAER 
房 员 工 ， 消 息 定 义 了 需要 准备 的 食物 。 这 是 基于 SNE AER LAAN! 
消息 的 交互 。 三 分 娄 
用 餐 者 和 服务 员 之 间 的 过 程式 交互 如 图 17-1 | 要 沙拉 或 炸 茵 条 吗 ? 
所 示 ， 说 明了 如 同一 系列 调用 的 同步 点 菜 的 过 程 ， 沙拉 ， 谢 谢 
而 图 17-2 给 出 了 一 个 假设 的 XML 消息 ， 它 定义 等 等 


了 一 果 3 人 所 点 的 菜 。 这 之 间 的 信息 交流 方式 的 ”图 17-1 用 餐 者 和 服务 员 之 间 的 过 程式 交互 
差异 是 很 明显 的 。 服 务 员 所 记录 的 是 一 系列 的 交 

互 ， 每 一 个 交互 定义 了 所 点 的 一 部 分 莱 。 而 服务 员 和 厨房 员工 之 间 有 一 个 单独 交互 ， 所 传递 
的 消息 定义 了 完整 的 点 菜 内 容 。 


<starter> 
<dish name = “soup” type = “tomato” /> 
<dish name = “soup” type = “fish” /> 
<dish name = “pigeon salad” /> 
</starter> 
<main course> 
<dish name = “steak”-type = “sirloin” cooking = “medium” /> 


<dish name = “steak” type = “fillet” cooking = “rare” /> 
<dish name = “sea bass”> 
</main> 


<accompaniment> 
<dish name = “french fries” portions = “2” /> 
<dish name = “salad” portions = “1” /> 
</accompaniment> 





图 17-2 服务 员 和 厨房 员工 之 间 的 基于 消息 的 交互 


在 分 布 式 系统 中 过 程式 通信 往往 是 通过 远程 过 程 调用 (remote procedure call, RPC) 实 
现 的 。 在 远程 过 程 调用 中 ， 一 个 构件 调用 男 一 个 构件 就 像 是 调用 本 地 的 程序 或 方法 。 系 统 中 
的 中 间 件 拦截 调用 并 把 它 传送 给 一 个 远程 的 构件 。 远 程 构件 执行 了 所 要 的 计算 ,通过 中 间 件 
返回 结果 给 调用 构件 。Java 中 ， 远 程 方 法 调用 (remote method invocation, RMI) 与 远程 过 
程 调 用 相似 ， 但 不 完全 相同 。RMI 框架 在 Java 程序 中 处理 对 远程 方法 的 调用 。 

RPC 要 求 一 个 “ 桩 ”以 便 所 要 调用 的 过 程 在 发 起 请 求 的 计算 机 上 是 可 访问 的 。 桩 定义 
本 远程 过 程 的 接口 ， 这 个 桩 被 调用 ， 并 把 过 程 的 参数 转化 为 一 种 标准 的 表示 以 便 传送 给 远程 
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过 程 。 接 着， 桩 通过 中 间 件 发 送 执行 请 求 给 远程 过 程 。 远 程 过 程 使 用 库 函 数 将 参数 转换 成 需 
要 的 格式 ,执行 相应 计算 ,并 通过 代表 调用 方 的 “ 桩 ”返回 结果 。 

基于 消息 的 交互 通常 是 构件 创建 一 个 消息 ， 这 个 消息 详细 地 说 明了 来 目 另 一 个 构件 的 服 
务 请 求 。 通 过 中 间 件 ， 消 息 发 送 给 接收 构件 。 接 收 者 分 析 消 息 ， 执 行 计算 ， 并 为 发 送 构件 创 
建 一 个 带 有 所 需要 的 结果 的 消息 。 这 个 消息 接着 传 到 中 间 件 以 便 传 送 给 发 送 构件 。 

远程 过 程 调 方法 带 来 的 一 个 问题 是 调用 者 和 被 调用 者 需要 在 通信 时 都 是 有 效 的 ， 它们 
必须 知道 如 何 相 互 指引 。 本 质 上 ， 远 程 过 程 调用 和 本 地 过 程 和 方法 调用 有 着 同样 的 需求 。 相 
反 ， 在 基于 消息 的 方法 中 ,不 可 用 是 可 以 容忍 的 ， 因 为 消息 只 需要 等 在 队列 里 直到 接收 者 变 
为 可 用 。 此 外 ， 消 息 的 发 送 者 和 接收 者 没 必 要 知道 彼此 。 他 们 只 是 与 中 间 件 通信 ， 中 间 件 负 
责 确 定 消 息 传送 到 合适 的 系统 中 。 


17.1.2 中间 件 


在 分 布 式 系统 中 ， 不 同 的 构件 可 能 用 不 同 的 程序 语言 来 实现 ， 且 这 些 构 件 可 能 运行 在 不 
同类 型 的 处 理 嚣 上。 数据 模型 、 信 息 表示 法 以 及 通信 协议 可 能 都 不 一 样 。 因 此 ， 分 布 式 系统 
就 需要 某 种 软件 来 管理 这 些 不 同 部 分 ,确保 它们 能 通信 和 交换 数据 。 

中 间 件 这 个 术语 指 的 就 是 这 样 一 种 软件 ， 它 位 于 系统 的 不 同 分 布 式 构件 之 间 。 图 17-3 
说 明了 中 间 件 是 操作 系统 和 应 用 程序 中 间 的 一 层 。 中 间 件 通常 实现 为 一 系列 库 ， 这 些 库 被 安 
装 到 每 一 个 分 布 式 计算 机 上 ， 加 上 一 个 运行 时 系统 管理 通信 。 










应 用 构件 协调 操作 应 用 构件 
yO 7 a een, aie 

中 间 件 ora 中 间 件 
| = et 





操作 系统 iP AS 
a oy 
联网 物理 连接 


操作 系统 | 





系统 ] 系统 2 
图 17-3 ”分布 式 系统 中 的 中 间 件 


Bernstein( 1996 ) 总 结 了 支持 分 布 式 计算 的 中 间 件 的 不 同类 型 。 中 间 件 是 一 种 通用 软件 ， 
通常 中 间 件 不 是 由 应 用 开发 人 员 编 写 的 ， 而 是 购买 成 品 软件 系统 。 中 间 件 的 例子 有 负责 数据 
库 通 信 管 理 的 软件 、 事 务 管理 器 、 数 据 转换 器 和 通信 控制 右 等 。 

在 分 布 式 系统 中 ， 中 间 件 通常 提供 两 种 不 同类 型 的 文 持 。 

1. 交互 支持 ， 中 间 件 协调 系统 中 的 不 同 构件 之 间 的 交互 。 中 间 件 提供 位 置 透明 性 ， 因 为 
构件 不 需要 知道 其 他 构件 的 物理 位 置 。 如 果 使 用 不 同 的 编程 语言 来 实现 构件 、 事 件 检测 和 通 
信 等 时 ， 那 么 中 间 件 还 可 能 会 文 持 参数 转换 。 

2. 提供 公共 服务 ， 即 中 间 件 提供 对 服务 的 可 复 用 的 实现 ， 分 布 式 系统 中 的 很 多 构件 可 能 
需要 这 些 服 务 。 通 过 使 用 公共 服务 ， 构 件 可 以 很 容易 地 相互 协作 ， 并 且 可 以 持续 地 加 用户 提 
供 服 务 。 

17.1.1 节 已 经 给 出 了 中 间 件 可 以 提供 的 交互 支持 的 例子 。 你 可 以 使 用 中 间 件 来 支持 远程 
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过 程 调用 、 远 程 方法 调用 和 消息 交换 等。 

公共 服务 是 指 各 种 不 同 的 构件 都 需要 的 服务 ， 不 管 这 些 构件 的 功能 是 什么 。 如 第 16 章 中 
所 述 ， 这 些 服务 可 能 包括 信息 安全 服务 (身份 认证 和 权限 检查 )、 通 知 和 命名 服务 ， 以 及 事务 
管理 服务 等 。 对 于 分 布 式 构件 ， 你 可 以 把 这 些 服务 看 作 是 中 间 件 容器 提供 的 ， 对 于 服务 ， 则 是 
通过 共享 库 提供 的 。 你 可 以 部 署 你 的 构件 ， 并 且 这 些 构件 可 以 访问 和 使 用 这 些 公共 服务 。 


17.2 客户 -服务 器 计算 


通过 互联 网 访问 的 分 布 式 系统 通 稼 组 织 成 客户 - 服务 套 系 统 。 在 客户 - 服务 器 系统 中 ， 
用 户 与 运行 在 本 地 计算 机 上 的 程序 (例如 ，Web 浏览 器 或 移动 设备 上 的 APP) 交互 。 这 个 程 
序 与 运行 在 远程 计算 机 上 (例如 Web 服务 器 ) 的 男 一 个 程序 交互 。 远 程 计 算 机 提供 如 网 页 访 
问 等 服务 ,这 些 服 务 对 于 外 部 客户 端 部 是 可 用 的 。 如 第 6 章 中 所 述 ， 这 种 客户 - 服务 天 模型 
是 一 个 应 用 程序 非常 普遍 的 体系 结构 模型 。 这 种 模型 不 受 分 布 在 许多 计算 机 上 的 应 用 程序 的 
限制 。 你 也 可 以 使 用 这 种 模型 作为 一 种 逻辑 交互 模型 ， 即 让 客户 端 和 服务 此 运 行 在 同一 人 台 计 
算 机 上 。 

在 客户 一 服务 右 体 系 结构 中 ， 将 应 用 建 模 为 由 服务 器 所 提供 的 一 系列 服务 。 客 户 端 可 
以 访问 这 些 服 务 并 提交 结果 给 最 终 的 用 户 。 客 户 端 需要 知道 可 用 服务 侣 的 存在 但 不 知道 其 他 
客户 端的 存在 。 客 户 端 和 服务 需 是 独立 的 进程 ， 如 图 17-4 所 示 。 该 图 说 明了 这 样 一 种 情况 ， 
A4 GRA at (sl 一 s4) 分 别提 供 不 同 的 服务 ， 每 一 台 服 务 硕 都 有 一 组 与 之 关联 的 客户 端 
来 访问 这 些 服 务 。 





图 17-4 ”客户 -服务 器 交互 


图 17-4 示意 的 是 客户 端 和 服务 器 进程 而 不 是 处 理 器 。 正 常情 况 下 ， 在 单个 处 理 器 上 会 
运行 多 个 客户 端 进程 。 例 如 ， 在 你 的 PC 上 ， 你 可 能 会 运行 邮件 客户 端 从 远程 邮件 服务 器 上 
下 载 邮 件 。 你 也 可 能 会 运行 一 个 Web Wi aks ic Fe Web 服务 需 交 互 ， 你 或 者 运行 一 个 打印 
客户 端 程序 向 远程 打印 机 发 送 文件 。 图 17-5 说 明了 有 12 个 逻辑 的 客户 端 ( 如 图 17-4 所 示 ) 
运行 在 6 台 计 算 机 上 的 情况 。4 个 服务 顺 进 程 被 映射 到 两 台 物 理 的 服务 器 计算 机 上 。 

多 个 不 同 的 服务 器 进程 可 以 运行 在 同一 个 处 理 器 上 ， 但 是 服务 器 经 常 被 实现 为 多 处 理 器 
系统 ， 其 中 每 台 机 器 上 运行 一 个 单独 的 服务 器 进程 实例 。 负 载 平 衡 软 件 把 客户 端 同 服务 货 发 
送 的 请 求 分 配给 不 同 的 服务 器 ， 以 使 得 每 一 个 服务 器 承担 同样 的 工作 量 。 这 就 使 更 多 的 与 客 
户 端 的 交互 事务 得 以 处 理 ， 而 不 会 降低 对 单个 客户 端的 响应 。 
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服务 器 计算 机 





客户 端 计算 机 


3,94 
图 17-5 “客户 端 和 服务 器 映射 到 网 络 计算 机 上 


客户 一 服务 器 应 用 的 分 层 体 系 结 构 模 型 中 ， 客 户 - 服务 器 系统 清晰 地 分 离 了 信息 表示 
和 信息 计算 ， 信 息 计 算是 对 信息 的 创建 和 处 理 。 因 此 ， 应 该 设计 出 分 布 式 客 户 - 服务 器 系统 

的 体系 结构 ， 让 信息 的 表示 和 信息 计算 分 布 在 几 个 逻辑 的 分 层 
LaL] 


上 ， 层 与 层 之 间 有 明确 的 接口 。 这 种 设计 允许 每 一 层 分 布 在 不 
— n ] 










同 的 计算 机 上 。 图 17-6 说 明了 这 种 模型 ， 它 将 一 个 应 用 分 解 
为 4 层 。 

1. 表示 层 ， 是 关于 呈现 信息 给 用 户 以 及 管理 所 有 用 户 的 
CEs 

2. 数据 管理 层 ， 用 来 管理 传 给 客户 端 和 来 自 客户 端的 数 
据 。 这 一 层 可 以 实现 数据 检查 、 网 页 生成 等 。 

3. 应 用 处 理 层 ， 涉 及 应 用 逻辑 的 实现 以 及 向 最 终 用 户 提供 ”图 17-6 客户 -服务 天 应 用 的 
所 需求 的 功能 。 分 层 体系 结构 模型 

4. 数据 库 层 ， 用 来 储存 数据 和 提供 事务 管理 服务 等 。 

接 下 来 的 章节 解释 不 同 的 客户 - 服务 器 体系 结构 如 何以 不 同 的 方式 分 布 这 些 逻 辑 的 分 
层 。 客 户 -服务 需 模 型 也 强调 了 软件 即 服务 (Software as a Service, SaaS) 的 概念 ， 这 一 概 
念 已 成 为 部 署 软 件 和 通过 互联 网 访问 软件 的 一 种 越 来 越 重 要 的 方法 。17.4 节 将 会 讨论 这 一 
问题 。 


17.3 ”分布 式 系统 的 体系 结构 模式 


如 本 章 的 引言 中 所 述 ， 分 布 式 系统 的 设计 者 必须 要 组 织 他 们 的 设计 以 便 在 系统 的 性 能 、 
可 依赖 性 、 信 息 安全 性 和 可 管理 性 之 间 找 到 平衡 。 因 为 没有 适用 于 所 有 环境 的 一 种 通用 的 系 
统 组 织 模型 ， 所 以 出 现 了 不 同 的 分 布 式 体 系 结构 风格 。 当 设 计 一 个 分 布 式 应 用 时 ， 应 该 选择 
一 种 能 支持 你 的 系统 中 关键 的 非 功 能 性 需求 的 体系 结构 风格 。 

本 节 将 会 介绍 以 下 5 种 体系 结构 风格 。 

1. 主 从 体系 结构 ， 这 种 体系 结构 常用 在 实时 系统 中 ， 在 这 类 系统 中 交互 的 响应 时 间 需 要 
得 到 保证 。 

2. 两 层 客户 一 服务 器 体系 结构 ， 这 种 体系 结构 常用 于 简单 的 客户 -服务 器 系统 ， 也 用 
于 出 于 信息 安全 原因 ， 需 要 使 系统 集中 化 的 情况 。 

3. 多 层 客户 -服务 器 体系 结构 ， 这 种 体系 结构 用 于 服务 器 要 处 理 大 量 的 事务 的 时 候 。 

. 分 布 式 构件 体系 结构 ， 这 种 体系 结构 用 于 来 自 不 同系 统 和 数据 库 的 资源 需要 结合 在 一 

ieee 或 者 作为 多 层 客户 — 服务 器 系统 的 实现 模型 。 
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5. 对 等 体系 结构 ， 这 种 体系 结构 用 于 当 客 户 端 相互 交换 本 地 存储 的 信息 并 且 服 务 硕 的 角 
色 仅 仅 是 在 客户 端 之 间 相 互 介绍 的 时 候 ， 也 可 以 用 于 当 系 统 需要 进行 大 量 独立 的 计算 的 时 候 。 


17.3.1 主 从 体系 结构 


分 布 式 系统 的 主 从 体系 结构 通常 用 于 实时 系统 。 在 这 类 系统 中 ， 可 能 存在 分 别 与 获取 来 
自 系统 环境 的 数据 、 数 据 处 理 和 计算 、 执 行 右 管理 相关 联 的 处 理 右 。 就 像 第 21 章 将 讨论 的 ， 
执行 器 是 由 软件 系统 所 控制 的 设备 ， 它 们 用 来 改变 系统 的 环境 。 例 如 ， 一 个 执行 器 可 能 控制 
一 个 阀门 并 把 阀门 的 状态 由 “ 开 ” 变 为 “ 关 ”。 “ 主 ” 进 程 通常 负责 计算 、 协 调和 通信 ， 并 
控制 “从 ”进程 。“ 从 ”进程 用 于 执行 专门 的 行为 ， 比 如 从 传 感 融 阵列 中 获取 数据 。 

图 17-7 说 明了 这 种 体系 结构 模型 。 这 是 一 个 城市 交通 管理 系统 的 模型 ， 这 个 模型 有 3 
个 运行 在 不 同 处 理 器 上 的 逻辑 进程 。 主 进程 是 控制 室 进程 ， 它 与 负责 收集 交通 数据 和 管理 交 
通信 号 灯 的 独立 的 从 进程 通信 。 
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图 17-7 交通 管理 系统 的 主 从 体系 结构 


一 组 分 布 式 传 感 融 收集 交通 流量 信息 。 传 感 融 控制 进程 周期 性 地 轮 询 传 感 融 来 获取 交通 
流量 信息 并 整理 这 些 信息 以 便 进一步 处 理 。 传 感 融 处 理 絮 本身 也 被 主 进程 周期 性 地 轮 询 来 提 
供 信 息 。 主 进程 负责 向 操作 者 显示 交通 状况 ， 计 算 交 通信 号 灯 序 列 ， 接 受 操 作者 的 指令 来 修 
改 这 些 序列 。 控 制 室 系统 发 送 指令 给 交通 信号 灯 控 制 进程 ， 交 通信 号 灯 控 制 进程 把 这 些 命令 
转化 为 信号 来 控制 交通 信号 灯 便 件 。 主 控制 室 系 统 本 身 组 织 为 一 个 客户 - 服务 顺 系 统 ， 客 户 
端 进程 运行 在 操作 者 控制 侣 上 。 

能 够 预测 所 需要 的 分 布 式 处 理 和 可 以 很 容易 地 将 处 理 定位 到 从 处 理 器 上 的 这 两 种 情形 
中 ， 我 们 可 以 使 用 分 布 式 系 统 的 主 从 模型 。 这 种 情况 一 般 发 生 在 实时 系统 中 ， 在 实时 系统 中 
最 重要 的 是 要 满足 处 理 的 时 限 。 可 以 使 用 从 处 理 融 于 计算 密集 型 操作 ， 比 如 信号 处 理 和 系统 
控制 的 设备 管理 。 


17.3.2 ABBA - 服务 器 体系 结构 


在 17.2 节 中 讨论 了 客户 -服务 亏 系 统 的 一 般 形 式 ， 在 客户 = 服务 只 系 统 中 一 部 分 应 用 
系统 运行 在 用 户 的 计算 机 上 《客户 端 )， 另 一 部 分 运行 在 远程 计算 机 上 《服务 器 )。 此 外 ， 前 
文 还 提出 了 一 种 分 层 应 用 模型 ( 见 图 17-6 )， 其 中 系统 中 的 不 同 层 可 能 会 在 不 同 的 计算 机 上 
执行 。 
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两 层 客户 — 服务 器 体系 结构 是 客户 =- 服务 器 体系 结构 最 简单 的 形式 。 系 统 实现 为 一 个 
独立 的 逻辑 服务 需 加 上 不 确定 数目 的 使 用 服务 器 的 客户 端 。 图 17-8 显示 了 这 种 体系 结构 模 


型 的 两 种 形式 。 


表示 层 
应 用 处 理 层 






| 
数据 管理 层 
应 用 处 理 层 








瘦 客 户 机 模型 





胖 客户 机 模型 客户 端 


图 17-8 瘦 客 户 机 和 胖 客 户 机 的 体系 结构 模型 


1. 疫 客 户 机 模型 ， 其 表示 层 在 客户 端 实现 ， 其 他 层 (数据 管理 层 、 应 用 处 理 层 和 数据 库 
层 ) 在 服务 关上 实现 。 客 户 端 上 的 表示 层 软 件 通 篆 是 通过 Web 浏览 器 ,但 在 移动 设备 上 也 
可 以 使 用 应 用 程序 。 

2. 胖 客 户 机 模型 ， 一 部 分 或 者 所 有 的 应 用 处 理 都 在 客户 端 上 执行 。 数 据 管理 和 数据 库 功 
能 在 服务 硕 上 实现 。 在 这 种 情况 下 ， 客 户 端 软件 可 以 是 专门 编写 与 服务 顺应 用 程序 紧密 集成 
的 程序 。 

瘦 客 户 机 模型 的 优点 是 管理 客户 端 很 简单 。 如 果 存 在 很 多 的 客户 端 那 么 管理 就 是 最 主要 
的 问题 ， 因 为 在 所 有 的 客户 端 上 安装 新 的 软件 是 非常 困难 和 昂贵 的 。 如 果 使 用 Web 浏览 器 
作为 客户 端 ， 就 不 需要 安装 任何 软件 。 

瘦 客 户 机 模型 的 缺点 是 它 将 繁重 的 处 理 负 和 载 都 放 在 了 服务 器 和 网 络 上 。 服 务 器 人 负责 所 有 
的 计算 ， 这 将 导致 客户 端 和 服务 器 之 间 的 网 络 上 很 大 的 流量 。 使 用 这 种 模型 来 实现 一 个 系统 
可 能 需要 在 网 络 和 服务 器 容量 上 投入 更 多 。 

胖 客 户 机 模型 利用 运行 客户 端 软件 的 计算 机 上 的 处 理 能 力 ， 并 把 部 分 或 所 有 的 应 用 处 理 
和 表示 分 发 到 客户 端 上 。 实 际 上 ， 服 务 硕 就 是 一 个 事务 服务 右 ， 即 管理 所 有 的 数据 库 事务 。 
数据 管理 是 简单 的 ， 因 为 不 需要 管理 客户 端 和 应 用 处 理 系 统 之 间 的 交互 。 当 然 ， 胖 客户 机 模 
型 的 问题 是 它 需 要 额外 的 系统 管理 来 部 署 和 维护 客户 端 上 的 软件 。 

使 用 胖 客户 机 体系 结构 的 一 个 例子 是 银行 
的 ATM 系统 ，ATM 系统 回 用 户 提供 现金 和 其 
他 的 银行 服务 。 这 里 ATM 是 一 个 客户 端 ， 服 
务 器 是 一 个 典型 的 大 型 主机 ， 在 它 上 面 运行 容 Vm ~ OTN Ee 
户 账户 数据 库 。 大 型 主机 是 一 个 为 事务 处 理 而 
设计 的 强大 的 机 器 。 因 此 这 个 大 型 主机 可 以 处 
理由 ATM 机 、 其 他 的 柜台 系统 和 在 线 银行 产 
生 的 大 量 事务 。 自 动 取款 机 上 的 软件 执行 很 多 


| re | 
监控 器 | 数据 库 | 
与 用 户 相关 的 处 理 ， 这 些 处 理 与 交易 有 关 。 


图 17-9 显示 了 ATM 系统 组 成 的 一 个 简化 图 17-9 ATM 系统 的 胖 客户 机 体系 结构 
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版 本 。 注 意 , ATM 不 是 直接 连接 到 客户 账户 数据 库 上 ， 而 是 连 到 一 个 远程 处 理 (teleprocessing, 
TP) 监控 需 上 。 远 程 处 理 监控 器 是 一 个 中 间 件 系统 ， 它 组 织 远程 客户 端 和 数据 库 间 的 通信 并 
序列 化 客户 端 交易 以 便 数据 库 处 理 。 这 确保 了 交易 的 独立 并 且 不 会 干涉 其 他 交易 。 使 用 事务 
序列 化 的 好 处 是 系统 能 从 故障 中 恢复 而 不 至 于 造成 系统 数据 崩溃 。 

一 方面 ， 翌 客户 机 模型 比 瘦 客 户 机 模型 在 分 布 处 理 上 更 有 效 ; 另 一 方面 ， 如 果 面 对 一 个 
具有 特定 目的 的 客户 端 而 不 是 浏览 器 ， 它 将 使 系统 管理 更 复杂 。 应 用 功能 分 散在 许多 不 同 的 
计算 机 上 。 当 应 用 软件 不 得 不 变更 时 ， 就 需要 对 每 个 客户 端 计算 机 进行 重新 安装 。 当 系统 中 
有 数 以 百 计 的 客户 端 时 ， 就 可 能 造成 比较 大 的 成 本 开销 。 自 动 更 新 客户 端 软件 可 以 降低 这 些 
成 本 ,但 如 果 客 户 端 功能 更 改 将 引入 它 自己 的 问题 。 新 功能 可 能 意味 着 企业 必须 改变 他 们 使 
用 系统 的 方式 。 

移动 设备 的 广泛 使 用 意味 着 ， 尽 可 能 地 最 小 化 网 络 流量 是 非常 重要 的 。 这 些 设备 现在 包 
含 可 以 进行 本 地 处 理 的 强大 的 计算 机 。 因 此 ， 瘦 客户 机 和 胖 客 户 机 体系 结构 之 间 的 区 别 已 经 
变 得 模糊 。 应 用 程序 可 以 具有 能 执行 本 地 处 理 的 内 置 功能 ， 并 且 网 页 可 以 包含 在 用 户 本 地 计 
算 机 上 执行 的 Javascript 构件 。 应 用 程序 的 更 新 问题 仍然 是 个 难题 ， 但 通过 自动 更 新 应 用 程 
序 而 非 显 式 的 用 户 干预 ， 它 已 在 一 定 程度 上 得 到 了 解决 。 因 此， 使 用 这 些 模 型 作为 分 布 式 系 
统 体系 结构 的 一 般 基 础 ， 虽 然 有 时 是 有 帮助 的 ， 但 在 实践 中 很 少 有 基于 Web 的 应 用 程序 在 
远程 服务 此 上 实现 所 有 的 处 理 。 


17.3.3 SREP -服务 器 体系 结构 


两 层 客户 站 服务 器 方法 的 根本 问题 是 系统 中 的 逻辑 层 (表示 层 、 应 用 处 理 层 、 数 据 管 理 
层 和 数据 库 层 ) 必须 要 映射 到 两 个 计算 机 系统 上 : 客户 端 和 服务 器 。 如 果 选 择 的 是 瘦 客 户 机 
模型 ， 则 可 能 导致 可 伸缩 性 和 性 能 的 问题 ; 若 选择 的 是 胖 客 户 机 模型 ， 则 可 能 有 系统 管理 上 
的 问题 。 为 了 避免 其 中 的 一 些 问 题 ， 可 以 使 用 一 种 “多 层 客 户 - 服务 器 ”的 体系 结构 。 在 这 
种 体系 结构 中 ， 系 统 中 的 不 同 层 (表示 层 、 数 据 管理 层 、 应 用 处 理 层 和 数据 库 层 ) 是 在 不 同 
处 理 副 上 执行 的 独立 的 进程 。 


Bl: 表示 





提供 账户 服务 






4) 
i : 





层 2: 应 用 处 理 和 数据 处 理 层 3: 数据 库 处 理 


图 17-10 网 上 银行 系统 的 三 层 体 系 结构 


网 上 银行 系统 OLA 17-10) 是 使 用 多 层 客户 - 服务 器 体系 结构 的 例子 ， 这 个 系统 中 
有 3 层 。 银 行 的 客户 数据 库 (通常 在 如 上 所 述 的 一 个 大 型 计算 机 上 ) 提供 数据 库 服务 。 一 个 
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Web 服务 需 提 供 《〈 如 网 页 的 生成 ) 数据 管理 服务 和 一 些 应 用 服务 。 诸 如 现金 转账 、 生 成 银行 
结算 单 和 工资 单 等 应 用 服务 在 Web 服务 器 上 实现 ， 并 作为 脚本 在 客户 端 上 执行 。 用 户 计算 
机 和 浏览 徊 构成 客户 器 。 这 种 系统 是 可 扩展 的 ， 因 为 当 客 户 数 量 增加 的 时 候 增加 服务 右 ( 增 
加 扩展 ) 相对 还 是 比较 容易 的 。 

在 这 种 情 部 下， 使 用 三 层 体 系 结构 可 以 对 Web 服务 器 和 数据 库 服务 器 之 间 信 息 传 
递 进行 优化 。 这 两 个 系统 之 间 的 通信 无 须 基 于 互联 网 标准 ， 可 以 使 用 比较 低层 的 数据 
交换 协议 。 使 用 文 持 结构 化 查询 语言 ( SQL) 数据 库 查 询 的 高 效 中 间 件 从 数据 库 取 回 
ad. 

TEARS PAINE IRs te, AT WES JRA - 服务 器 模型 扩展 成 多 层 结构 。 这 可 能 
包括 使 用 Web 服务 硕 管理 数据 ， 使 用 独立 的 服务 需 处 理应 用 程序 以 及 数据 库 服务 。 多 层 系 
统 适合 于 当 应 用 程序 需要 到 不 同 的 数据 库 中 存 取 数据 的 情况 。 在 这 种 情况 下 ， 或 许 需 要 在 系 
统 中 增加 一 个 集成 的 服务 器 。 这 个 集成 服务 硕 收 集 分 布 式 数据 并 将 其 传递 给 应 用 程序 ， 就 好 
像 效 据 是 在 一 个 单一 的 数据 库 中 一 样 。 如 下 一 他 中 将 要 提 到 的 ,- 分 布 构件 体系 结构 可 以 用 来 
实现 多 层 客 户 及 服务 顺 系 统 。 

在 多 个 服务 磊 上 分 布 应 用 处 理 的 多 层 客 户 - 服务 硕 系 统 ， 本 质 上 比 两 层 的 体系 结构 有 更 
蝇 扩 展 性 。 系 统 中 的 层 可 以 独立 管理 ， 随 着 负载 增加 而 添加 额外 的 服务 器 。 处 理 可 以 分 布 到 
不 同 的 应 用 逻辑 服务 器 和 数据 管理 服务 顺 中 ， 以 便 谋 求 更 快 的 客户 啊 应。 

当选 择 最 适当 的 分 布 式 体系 结构 时 ， 客 户 - 服务 器 体系 结构 的 设计 者 必须 考虑 到 多 种 因 
Ro BP — 服务 器 体系 结构 的 适应 条 件 如 图 17-11 所 示 。 


遗留 系统 应 用 ， 当 将 应 用 处 理 过 程 和 数据 管理 分 离 是 不 切合 实际 的 时 候 
使 用 。 客 户 疹 将 它们 作为 服务 访问 ， 如 在 17.4 节 中 所 讨论 的 那样 

计算 密集 型 应 用 ， 例 如 编译 器 ， 很 少 或 根本 没有 数据 管理 

很 少 或 根本 没有 密集 型 应 用 处 理 的 数据 密集 型 应 用 (浏览 和 查询 )。 浏 览 
Web 页 面 是 使 用 此 体系 结构 情形 的 最 为 普通 的 例子 


两 层 瘦 客 户 机 C/S 体系 
结构 


其 应 用 处 理 是 在 客户 端 上 由 COTS (如 微软 的 Excel) 所 提供 的 这 类 应 用 
两 层 胖 客户 机 C/S 体系 | 需要 密集 的 数据 处 理 (如 数据 可 视 化 ) 的 应 用 
不 能 保证 互联 网 连接 的 移动 应 用 。 因 而 ， 某 些 使 用 来 自 数据 库 的 缓存 信 
息 的 本 地 处 理 是 可 能 的 


大 规模 的 、 具 有 成 百 上 千 个 客户 端的 应 用 
多 层 C/S 体系 结构 数据 和 应 用 都 是 易 变 的 一 类 应 用 
多 源 数 据 经 过 集成 而 得 的 一 类 应 用 





图 17-11 客户 -服务 器 (C/S) 体系 结构 模式 的 应 用 


17.3.4 ”分 布 式 构件 体系 结构 


如 图 17-6 所 示 ， 通 过 把 进程 组 织 到 各 个 层 中 去 ， 系 统 的 每 一 层 可 以 实现 为 一 个 独立 的 
逻辑 服务 器 。 这 个 模型 对 许多 类 型 的 应 用 来 说 能 工作 得 很 好 。 然 而 ， 它 对 系统 设计 者 的 灵活 
性 是 一 个 很 大 的 限制 ， 因 为 设计 者 必须 决定 每 一 层 应 该 包括 哪些 服务 。 然 而 在 实际 中 ， 一 个 ， 
服务 到 撒 是 数据 管理 服务 、 应 用 服务 还 是 数据 库 服务 不 总 是 很 明确 。 设 计 者 还 必须 考虑 可 伸 
缩 性 ， 从 而 为 当 更 多 的 客户 端 被 加 入 系统 中 时 的 服务 器 复制 提供 一 些 方法 。 
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分 布 式 系统 设计 的 更 通用 方法 是 把 系统 设计 为 一 系列 服务 ， 不 需要 试图 把 这 些 服务 定位 
到 系统 中 的 某 一 层 上 。 每 一 个 服务 或 者 相关 的 一 组 服务 是 使 用 独立 的 构件 实现 的 。 如 第 16 
章 所 述 ， 在 分 布 式 构件 体系 结构 中 LA 17-12 )， 系 统 被 组 织 成 一 系列 交互 的 构件 或 对 象 。 
这 些 构件 给 出 了 它们 所 提供 服务 的 一 个 接口 。 其 他 构件 通过 中 间 件 使 用 远程 过 程 调 用 或 远程 
方法 调用 请 求 这 些 服务 。 


构件 1 上 | 构件 2 上 构件 3 | 构件 4 | 
| 
asma | aama | 公共 服务 | 公共 服务 | 





17-12 ”分布 式 构件 体系 结构 


分 布 式 构件 系统 依赖 于 中 间 件 来 管理 构件 间 的 交互 ， 弥 合 构 件 间 传递 的 不 同类 型 参数 
之 间 的 差异 ， 并 提供 一 系列 公共 服务 供应 用 构件 使 用 。CORBA 标准 ( Orfali, Harkey, and 
Edwards 1997 ) 是 这 种 中 间 件 早期 的 一 个 例子 ， 但 是 现在 应 用 得 不 是 很 广泛 了 。 它 已 在 很 大 
程度 上 被 专 有 的 软件 所 取代 ， 比 如 EJB (Enterprise Java Beans) 或 者 .NET。 

使 用 分 布 式 构件 模型 来 实现 分 布 式 系统 具有 以 下 好 处 。 

1. 它 允 许 系统 设计 者 延迟 决定 在 哪里 和 如 何 提供 服务 。 提 供 服务 的 构件 可 以 在 网 络 任何 
节点 上 运行 。 没 有 必要 事先 决定 一 个 服务 是 数据 管理 层 的 一 部 分 ， 还 是 应 用 层 的 一 部 分 ， 抑 
或 用 户 接 口 层 的 一 部 分 。 

2. 它 是 一 个 非常 开放 的 体系 结构 ， 人 允许 新 的 资源 根据 需要 增加 进来 。 可 以 很 容易 地 添加 
新 的 系统 服务 而 不 会 对 现 有 的 系统 产生 很 大 的 影响 。 

3. 系统 具有 很 好 的 灵活 性 和 可 伸缩 性 。 当 系统 负载 增加 时 ， 可 以 增加 新 的 对 象 或 者 重复 
的 对 象 ， 而 不 中 断 系 统 的 其 他 部 分 。 

4. 通过 构件 在 网 络 上 的 迁移 达到 对 系统 的 动态 配置 是 有 可 能 的 。 这 在 服务 需求 模式 不 确 
定 的 场合 中 可 能 是 很 重要 的 。 一 个 提供 服务 的 构件 能 迁移 到 请 求 服务 的 构件 所 在 的 同一 台 处 
理 硕 上 ， 这 样 可 以 改善 系统 的 性 能 。 

分 布 式 构件 体系 结构 可 以 作为 一 个 逻辑 模型 来 构造 和 组 织 系 统 。 在 这 种 情况 下 ， 要 考虑 
该 如 何 提供 应 用 功能 ， 把 这 些 功能 按照 服务 或 服务 组 合 的 形式 给 出 。 然 后 设计 如 何 利用 分 布 
式 构 件 来 提供 这 些 服 务 。 举 例 来 说 ， 在 一 个 零售 应 用 中 可 能 有 关于 库存 控制 、 客 户 通信 、 货 
物 订购 等 应 用 构件 。 

数据 挖掘 系统 是 这 种 系统 的 一 个 很 好 的 例子 ， 在 数据 挖掘 系统 中 分 布 式 构件 体系 结构 是 
最 合适 使 用 的 体系 结构 。 数 据 挖掘 系统 寻找 在 多 个 不 同 数据 库 中 数据 间 的 关系 ( 见 图 17-13 )。 
数据 挖掘 系统 通常 从 许多 独立 的 数据 库 中 得 出 信息 ， 执 行 计算 密集 型 处 理 ， 并 将 发 现 的 关系 
用 易于 理解 的 形式 显示 出 来 。 
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客户 端 
图 17-13 ”数据 控 掘 系统 的 分 布 式 构件 体系 结构 


这 种 数据 挖掘 应 用 的 一 个 例子 可 以 是 一 个 出 售 食物 和 书籍 的 零售 业 系统 。 和 零售 企业 使 用 
一 个 单独 的 数据 库 来 维护 关于 食品 和 书籍 的 详细 信息 。 他 们 使 用 会 员 卡 系统 来 跟踪 客户 的 购 
物 活 动 ， 因 此 有 一 个 大 型 数据 库 来 链接 产品 的 条 形 码 和 客户 信息 。 市 场 部 门 想 要 寻找 客户 购 
买 食物 和 书籍 之 间 的 联系 。 例 如 ， 相 当 多 的 人 在 买 比萨 的 同时 也 会 购买 犯罪 小 说 。 因 此 ， 企 
业 可 以 在 新 小 说 出 版 的 时 候 明 确 地 向 购买 具体 食物 的 客户 提供 新 小 说 的 信息 。 

在 这 个 例子 中 ， 每 个 数据 库 可 以 封装 成 一 个 分 布 式 构件 ， 其 接口 提供 只 读 访问 功能 。 每 
个 集成 器 构件 专注 于 一 种 特定 类 型 的 关系 ， 它 们 从 所 有 的 数据 库 中 收集 信息 来 试 着 推导 出 这 
种 关系 。 例 如 ， 可 能 有 一 个 集成 器 构件 关注 食品 销售 的 季节 性 变化 关系 ， 还 有 一 个 关注 不 同 
类 型 商品 之 间 的 销售 关系 。 

可 视 化 构件 通过 与 集成 右 构 件 交互 来 给 出 所 发 现 的 关系 的 可 视 化 效果 或 报告 。 由 于 所 要 
处 理 的 数据 量 巨大 ， 可 视 化 构件 通常 通过 图 形 化 的 方式 展示 它们 的 结果 。 最 后 ， 显 示 构 件 可 
以 负责 向 客户 端 传递 图 形 化 模型 以 便 在 Web 浏览 右上 呈现 最 终结 果 。 

对 这 一 类 型 应 用 ， 分 布 式 构 件 体 系 结构 比 客户 - 服务 器 体系 结构 更 适合 ， 因 为 你 可 以 
在 系统 中 增加 新 的 数据 库 而 不 会 产生 很 大 的 影响 。 每 一 个 新 的 数据 库 只 是 加 入 另 一 个 访问 分 
布 式 构件 。 数 据 库 访问 构件 提供 一 个 简化 的 接口 以 控制 对 数据 的 访问 。 被 访问 的 数据 库 可 以 
存在 于 不 同 的 机 器 上 。 该 体系 结构 也 使 得 通过 添加 新 的 集成 构件 来 挖掘 新 的 关系 类 型 变 得 
简单 。 

分 布 式 构件 体系 结构 有 以 下 两 个 主要 缺点 。 

1. 其 设计 比 客户 - 服务 器 系统 更 复杂 。 多 层 客户 - 服务 器 系统 看 起 来 是 一 种 相当 直观 
的 思考 系统 的 方式 。 它 反映 了 很 多 人 类 事务 的 处 理 方式 ， 其 中 人 们 从 其 他 专门 提供 这 些 服务 
的 人 那里 请 求 和 接收 服务 。 分 布 式 构件 体系 结构 的 复杂 性 增加 了 实现 的 成 本 。 

2. 分 布 式 构 件 模型 或 中 间 件 没有 通用 标准 。 不 同 的 提供 商 (比如 微软 和 Sun 公司 ) 开发 
出 了 各 种 相互 不 兼容 的 中 间 件 。 这 种 中 间 件 非常 复杂 ， 依 赖 它们 会 增加 整个 分 布 构件 系统 的 
复杂 度 。 
因为 这 些 问 题 ， 在 很 多 情况 下 ， 分 布 式 构 件 体系 结构 都 被 面向 服务 的 系统 (在 第 18 章 
讨论 ) 取而代之 。 不 过 ， 分 布 式 构件 系统 要 比 面向 服务 的 系统 性 能 更 优越 。RPC 通信 通常 要 
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系统 ， 这 种 系统 中 大 量 的 事务 需要 及 时 处 理 。 


17.3.5 “对 等 体系 结构 


本 章 的 前 几 节 提 到 的 客户 - 服务 器 计算 模型 对 于 提供 服务 的 服务 器 和 接收 服务 的 客户 端 
有 明确 的 区 分 。 这 种 模型 通 币 导 致 系统 不 均衡 的 负载 分 布 ， 其 中 服务 需要 比 客户 端 做 更 多 的 
工作 。 这 就 会 导致 组 织 机 构 在 服务 器 的 能 力 上 花费 巨大 ， 然 而 在 成 千 上 万 的 用 来 访问 系统 服 
务 器 的 PC 上 却 有 很 多 没有 被 利用 的 处 理 能 力 。 

对 等 (Peer-to-Peer，P2P) 系统 是 分 散 式 系统 ， 它 的 计算 是 由 网 络 上 的 任意 一 个 节点 来 
承担 的 ， 至 少 从 理论 上 讲 ， 是 不 存在 客户 端 和 服务 器 之 间 的 区 别 的 。 对 于 对 等 式 应 用 ， 总 的 
系统 设计 建立 在 潜在 的 巨大 计算 机 网 络 的 计算 能 力 和 存储 资源 的 优势 上 。 保 证 节点 间 能 有 效 
通信 的 标准 和 协议 都 是 戏 入 应 用 系统 本 身 的 ， 每 个 节点 必须 运行 一 个 这 样 的 应 用 的 拷贝 。 

对 等 技术 主要 用 于 个 人 而 不 是 商业 系统 。 事 实 上， 没有 中 央 服 务 器 意味 着 这 些 系统 更 难 
以 监控 ; 因此 ， 有 可 能 实现 更 高 级 别 的 通信 隐私 。 

例如 ， 我 们 使 用 基于 BitTorrent 协议 的 文件 交换 系统 在 个 人 计算 机 上 共享 文件 ， 又 例 
如 ， 我 们 使 用 即时 消息 系统 (如 ICQ 和 Jabber) 在 两 个 用 户 之 间 通 信和 而 无 须 中 间 服 务 器 提供 
支持 。 比 特 币 是 使 用 比特 币 电 子 货币 的 P2P 支付 系统 。Freenet 是 一 个 去 中 心 化 的 数据 库 ， 
设计 用 于 匿名 的 信息 发 布 ， 避 免 权 力 机 构 对 这 些 信息 的 查禁 。 

已 经 开发 出 的 其 他 一 些 对 等 系统 ， 其 中 隐私 不 是 主要 需求 。 利 用 IP 的 语音 ( VoIP) E 
话 服务 ， 比 如 Viber， 依 赖 于 电话 呼叫 或 会 议 的 相关 各 方 之 间 的 对 等 通信 。SETI@home 是 一 
个 长 期 项 目 ， 它 在 家 庭 个 人 计算 机 上 处 理 来 自 射电 望远镜 传 来 的 数据 ， 搜 索 宇 宙 中 生命 的 迹 
象 。 在 这 些 系统 中 ，P2P 系统 模型 的 优势 是 ， 中 央 服 务 器 不 再 是 运算 瓶 倾 。 

然而 ， 企 业 也 利用 P2P 系统 来 更 好 地 使 用 它们 个 人 计算 网 络 的 能 力 (McDougall 2000 )。 
Intel 公司 和 Boeing 公司 都 实现 了 P2P 系统 用 于 计算 密集 型 应 用 。 这 样 就 利用 了 本 地 计算 机 
没有 使 用 的 处 理 能 力 。 工 程 计算 可 以 整 夜 地 运行 在 没有 使 用 的 桌面 电脑 上 ， 而 不 必 购 买 昂 贵 
的 高 性 能 硬件 。 企 业 也 在 广泛 地 使 用 商务 P2P 系统 ， 比 如 消息 系统 和 VoIP 系统 。 

原则 上 ， 在 对 等 系统 中 网 络 上 的 每 一 个 节点 都 能 够 看 到 每 个 其 他 节点 ， 可 以 与 之 建立 连 
接 ， 并 可 以 与 之 直接 交换 数据 。 当 然 ， 实 际 过 程 中 这 是 不 可 能 的 ， 所 以 节点 都 是 以 区 域 来 组 
织 的 ， 通 过 某 些 节点 作为 桥梁 来 与 其 他 区 域 中 的 节点 群 建 立 连接 。 图 17-14 展示 了 这 种 分 散 
式 P2P 体系 结构 。 





图 17-14 ”分散 式 的 P2P 体系 结构 
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在 分 散 式 体系 结构 中 ， 网 络 中 的 节点 不 仅仅 是 一 个 功能 单元 ， 它 还 是 通信 的 转换 器 ， 能 
够 从 一 个 节点 到 另 一 个 节点 路 由 数据 和 控制 信号 。 例 如 ， 假 设 图 17-14 代表 一 个 分 散 式 文件 
管理 系统 。 该 系统 由 一 个 研究 人 员 团 体 来 共享 文件 ， 每 一 个 该 团体 中 的 成 员 维护 他 自己 的 文 
件 库 。 然 而 ， 当 一 个 文件 被 检索 到 ， 这 个 检索 文件 的 节点 还 要 使 之 对 所 有 节点 都 是 可 用 的 。 

如 果 有 谁 需要 一 个 储存 在 网 络 中 某 个 地 方 的 一 个 文件 ， 就 发 出 一 个 搜索 命令 给 本 区 域 中 
的 节点 。 这 些 节 点 检查 是 否 它 们 有 所 要 的 文件 ， 如 果 有 ， 则 将 信息 发 回 给 请 求 者 ， 如 果 它 们 
没有 ， 它 们 就 将 此 搜索 路 由 到 其 他 节点 。 因 此 ， 如 果 nl 发 出 对 某 个 存储 于 节点 n10 上 的 文 
件 的 搜索 命令 ， 该 搜索 路 由 经 过 节点 n3, n6 和 n9， 到 达 n10。 当 文件 最 终 得 以 发 现 ， 持 有 
这 个 文件 的 节点 通过 对 等 连接 把 文件 直接 发 送 给 请 求 节点 。 | 

这 种 分 散 式 体 系 结构 的 优点 在 于 它 是 高 度 元 余 的 ， 所 以 它 是 容错 的 而 且 容 许 节 点 从 网 络 
中 断 开 。 然 而 ， 系 统 的 缺点 是 相同 的 搜索 会 被 很 多 不 同 的 节点 来 处 理 ， 这 种 重复 的 对 等 通信 
开销 很 大 。 

半 集 中 式 P2P 体系 结构 是 一 种 替代 的 P2P 体系 结构 模型 ， 是 不 同 于 单纯 P2P 体系 结构 
的 半 集 中 式 体系 结构 ， 即 在 网 络 中 ， 有 一 个 或 多 个 节点 充当 服务 器 来 提供 对 其 他 节点 的 通 
信 。 这 减少 了 节点 之 间 的 流量 ， 图 17-15 说 明了 半 集 中 式 体 系 结 构 模 型 和 完全 分 散 式 模 型 
(如 图 17-14 ) 的 区 别 。 

在 半 集 中 式 体系 结构 中 ， 服 务 器 (有 时 叫 作 超级 对 等 体 ) 的 作用 是 帮助 建立 网 络 中 两 个 
节点 之 间 的 联系 ， 或 者 是 协调 计算 的 结果 。 例 如 ， 
如 果 图 17-15 代表 一 个 即时 消息 系统 ， 那 么 网 络 节点 Tes |} 
与 服务 部 通信 (用 虚线 表示 ) 来 寻找 哪些 节点 是 可 用 aenea | 
的 。 一 旦 发 现 了 它们 ， 就 能 够 建立 它们 之 间 的 直接 HAIT 
通信 而 与 服务 器 的 连接 就 不 再 需要 了 。 因 而 ， 节 点 
n2, n3, n5 和 n6 处 于 直接 通信 状态 。 

在 P2P 计算 系统 中 ， 把 处 理 器 密集 的 计算 分 布 
到 很 多 个 节点 上 去 ， 通常 是 要 有 一 些 节 点 作为 超级 
对 等 体 ， 它 们 的 作用 是 将 工作 分 发 到 各 个 其 他 节点 
上 并 收集 和 检查 计算 的 结果 。 | 

在 以 下 两 种 环境 下 系统 适合 使 用 对 等 体系 结构 。。 ITS PARA Pop 体系 结构 
模型 。 

1. 系统 是 计算 密集 的 ， 并 且 有 可 能 把 需求 的 处 理 分 成 许多 独立 的 计算 。 例 如 ， 支 持 药 物 
探索 计算 的 对 等 系统 分 散 了 通过 分 析 大 量 的 分 子 来 寻找 治疗 癌症 潜在 方法 的 计算 ， 以 此 来 观 
察 这 些 分 子 是 否 具有 所 需要 的 抑制 癌症 增长 的 特性 。 每 一 个 分 子 都 可 以 独立 地 分 析 ， 所 以 系 
统 中 的 对 等 体 不 需要 通信 。 

2. 系统 主要 涉及 个 人 计算 机 在 网 络 上 的 信息 交换 ， 没 有 必要 将 这 些 信息 集中 管理 和 储 
存 。 这 种 应 用 的 例子 包括 : 允许 对 等 体 交 换 比 如 音乐 和 视频 等 本 地 文件 的 文件 共享 系统 ; 支 
持 计 算 机 间 语 音 和 视频 通信 的 电话 系统 。 

对 等 体系 结构 能 够 有 效 利 用 网 络 能 力 。 然 而 ， 信 息 安 全 问题 是 这 些 系统 没有 被 更 广泛 使 
用 的 主要 原因 ， 尤 其 是 在 商业 上 (Wallach 2003 )。 缺 乏 集 中 式 管 理 意味 着 攻击 者 可 以 设置 恶 
意 节点 ， 传 输 垃 圾 邮件 和 恶意 软件 给 合法 的 P2P 系统 用 户 。 对 等 通信 需要 开放 你 的 电脑 直 
接 与 其 他 的 对 等 体 交 互 ， 这 意味 着 这 些 系 统 有 可 能 访问 你 的 任何 资源 。 为 了 应 对 这 种 情况 ， 
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,需要 组 织 你 的 系统 来 保护 这 些 资源 。 如 果 没 有 做 好 这 些 ， 你 的 系统 就 会 不 安全 ， 容 易 受 到 外 
部 攻击 。 


17.4 软件 即 服务 


前 几 节 讨论 了 客户 - 服务 需 模 型 以 及 功能 是 如 何在 客户 端 和 服务 器 之 间 分 布 的 。 为 了 实现 
一 个 客户 - 服务 器 系统 ， 可 能 需要 在 客户 端 上 安装 程序 或 APP， 与 服务 顺 通 信 ， 实 现 客户 冰 功 
能 并 管理 用 户 界 面 。 例 如 ， 一 个 像 Outlook 或 Mac Mail 的 邮件 客户 端 ， 在 自己 的 计算 机 上 提供 
邮件 管理 的 特征 。 这 避免 了 首 客 户 机 系统 中 所 有 的 进程 都 运行 在 服务 秦 上 的 过 载 问 题 。 

不 过 ， 通 过 使 用 诸如 AJAX (Holdener, 2008 ) 和 HTMLS (Sarris 2013 ) 这 样 的 Web 技 
术 ， 服 务 器 超 负载 的 问题 得 到 了 明显 的 改善 。 这 些 技术 支持 网 页 表示 的 有 效 管 理 和 通过 脚本 
语言 的 本 地 计算 。 这 意味 着 浏览 秦 可 以 作为 客户 端 配 置 和 使 用 ， 有 很 强 的 本 地 处 理 能 力 。 应 
用 软件 可 以 被 看 作 和 远程 服务 ， 可 以 被 任何 运行 标准 浏览 副 的 设备 访问 。 广 泛 使 用 的 软件 即 服 
% (Software as a Service, SaaS) 示例 包括 基于 Web 的 邮件 系统 ， 例 如 Yahoo 和 Gmail， 以 
及 办 公 应 用 程序 ， 例如 Google Docs 和 Office 365. 

SaaS 这 个 概念 涉及 远程 托管 软件 以 及 通过 互联 网 提供 对 软件 的 访问 。 SaaS 的 关键 要 素 如 下 。 

1. 软件 部 署 在 一 台 服 务 器 上 (更 一 般 的 情形 是 在 云 上 )， 并 且 可 以 通过 Web 浏览 磊 访 问 。 
软件 不 是 部 署 在 本 地 PC 上 的 。 

2. 软件 由 软件 提供 商 拥 有 和 管理 ， 而 不 是 由 使 用 软件 的 机 构 来 管理 。 

3. 用 户 为 使 用 该 软件 付费 ， 根 据 他 们 的 使 用 量 包 年 或 者 包月 来 文 付 。 有 时 ， 该 软件 免费 
给 所 有 人 使 用 ， 但 是 用 户 必须 同意 接受 广告 ， 因 为 广告 为 软件 服务 提供 资金 。 

在 过 去 几 年 中 ， 云 计算 的 广泛 使 用 加 速 了 Saas WER, SRE REESE, IRIK 
的 数量 可 以 快速 改变 以 匹配 该 服务 的 用 户 需求 。 没 有 必要 一 直 为 服务 提供 商 提供 峰值 负载 对 
应 的 服务 器 数量 ; 因此 ， 这 些 提 供 商 的 成 本 已 大 大 降低 。 

对 于 软件 购买 者 ，SaaS 的 好 处 在 于 软件 管理 的 开销 转移 给 了 提供 商 。 软 件 提供 商 负责 
修复 bug 和 升级 软件 ， 处 理 操 作 系 统 平 台 的 变化 ， 确 保 硬 件 性 能 满足 需求 。 软 件 许可 管理 成 
本 为 零 。 如 果 某 个 人 有 多 台 计 算 机 ,不 需要 为 所 有 的 计算 机 注册 软件 。 如 果 一 个 软件 应 用 只 
是 偶尔 才 被 用 到 ， 那 么 按 每 次 使 用 支付 要 比 购买 这 个 应 用 更 便宜 。 比 如 手机 这 种 移动 设备 可 
以 在 世界 的 各 个 地 方 访 问 软 件 。 

与 远程 服务 的 数据 传输 是 抑制 SaaS 使 用 的 主要 问题 。 在 网 络 传输 速度 慢 时 ， 传 输 大 流 
量 数据 (如 视频 或 者 高 品质 的 图 片 ) 要 花费 大 量 的 时 间 。 你 或 许 还 要 根据 传输 量 癌 服务 提供 
商 支 付费 用 。 其 他 问题 包括 缺少 对 软件 演化 的 控制 (提供 商 可 能 在 他 们 觉得 合适 的 时 候 来 更 
新 软件 )， 以 及 法 律 法 规 的 问题 。 许 多 国家 有 专门 的 法 律 来 规定 数据 的 存储 、 管 理 、 维 护 和 
访问 ， 移 动 数据 到 远程 的 服务 可 能 会 触犯 这 些 法 律 。 

SaaS 的 概念 和 第 18 章 要 讨论 的 面向 服务 的 体系 结构 (SOA) 显然 是 很 相关 的 ， 但 又 不 一 样 。 

1. SaaS 是 在 远程 服务 器 上 提供 功能 而 客户 端 通过 Web 浏览 器 访问 的 一 种 方法 。 服 务 希 
在 交互 会 话 期 间 维持 用 户 的 数据 和 状态 。 事 务 常 常 是 长 事务 (例如 ， 编辑 文件 )。 

2. SOA 是 把 软件 系统 构建 为 一 系列 单独 的 无 状态 服务 的 方法 。 这 些 服务 或 许 由 多 个 提 
供 商 提供 并 且 可 能 是 分 布 的 。 典 型 地 ， 事 务 是 短 事 务 ， 其 中 服务 被 调用 ， 做 一 些 处 理 ， 接 者 
返回 结果 。 

SaaS 是 向 用 户 交 付 应 用 功能 的 方法 ， 而 SOA 是 应 用 系统 的 一 种 实现 技术 。 使 用 SOA 
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实现 的 系统 不 一 定 要 作为 Web 服务 被 用 户 访问 。 关 于 业务 的 Saas 应 用 程序 可 以 使 用 构件 
而 不 是 服务 来 实现 。 不 过 ， 如 果 SaaS 是 使 用 SOA 实现 的 ， 那 么 应 用 程序 就 可 能 使 用 服 
务 API 来 访问 其 他 应 用 程序 的 功能 。 它 们 然后 可 以 整合 到 一 个 更 复杂 的 系统 。 这 叫 作 混搭 
(mashup)， 代 表 了 软件 复 用 和 快速 软件 开发 的 为 一 种 方法 。 

从 软件 开发 的 角度 来 看 ， 服 务 的 开发 过 程 与 其 他 的 软件 开发 有 很 多 的 相似 之 处 。 不 过 ， 
服务 的 构建 通常 不 是 由 客户 的 需求 驱动 的 ， 而 是 服务 提供 商 基 于 对 用 户 需求 的 假设 来 驱动 
的 。 因 此 软件 需要 能 够 在 得 到 用 户 的 需求 反馈 后 很 快 地 演化 。 因 此 ， 人 敏捷 开发 和 增 量 式 交 付 
是 开发 作为 服务 来 部 署 的 软件 的 一 种 第 用 方法 。 | 

一 些 实现 为 服务 的 软件 ， 例 如 网 络 用 户 使 用 的 Google Docs， 为 所 有 用 户 提供 了 一 种 统 
一 的 体验 。 但 是 ， 企 业 可 能 希望 根据 他 们 自己 的 需求 定制 特定 的 服务 。 当 要 实现 SaaS 的 时 
候 必 须要 考虑 可 能 会 有 许多 不 同 机 构 的 软件 用 户 。 必 须 考 虑 以 下 3 个 重点 要 素 。 

1. 可 配置 性 。 如 何 针 对 每 一 个 客户 机 构 的 特定 需求 对 软件 进行 配置 ? 

2. 多 租户 。 如 何 让 每 一 个 用 户 感 到 他 们 正在 使 用 他 们 自己 的 系统 副本 ， 而 同时 能 高 效 地 
使 用 系统 资源 ? 

3. 可 伸缩 性 。 如 何 设 计 系 统 以 便 能 扩展 来 容纳 不 可 预测 的 大 量 用 户 。 

第 16 章 介 绍 的 产品 线 体系 结构 的 思想 ， 是 配置 系统 满足 那些 具有 重合 但 不 完全 相同 沉 
求 的 用 户 的 一 种 方法 。 基 于 这 种 方法 ， 你 可 以 在 一 个 通用 的 系统 基础 上 根据 每 个 用 户 的 特定 
需求 对 系统 进行 调整 。 

不 过 ， 这 对 于 SaaS 是 不 起 作用 的 ， 因 为 这 将 意味 着 为 使 用 这 种 软件 的 每 个 机 构 部 署 服 
务 的 一 个 不 同 副本 。 而 且 ， 需 要 在 系统 中 设计 可 配置 性 ， 并 提供 一 个 配置 接口 以 便 人 允许 用 户 
指定 他 们 的 偏好 。 当 软件 使 用 的 时 候 ， 利 用 这 些 偏好 来 动态 地 调整 软件 的 行为 。 配 置 设施 可 
能 会 允许 以 下 内 容 ; 

1. 品牌 化 ， 为 每 一 个 机 构 的 用 户 提供 一 个 反映 他 们 机 构 的 接口 。 

2. 业务 规则 和 工作 流 ， 每 个 机 构 定义 自己 的 服务 和 数据 使 用 的 规则 。 

3. 数据 库 扩 展 ， 每 个 机 构 定 义 如 何 将 通用 服务 数据 模型 扩展 为 能 满足 特定 需求 的 模型 。 

4. 访问 控制 ， 服务 的 客户 为 他 们 的 员工 建立 个 人 账户 ， 并 为 他 们 的 每 个 用 户 定 制 可 访问 
的 资源 和 功能 。 

图 17-16 说 明了 这 种 情况 ， 图 中 显示 了 
应 用 服务 的 5 个 用 户 ， 他 们 分 属于 这 个 服务 
供应 商 的 3 个 不 同 的 客户 。 用 户 与 服务 的 交 
互 是 通过 客户 资料 文档 中 为 员工 所 定义 的 服 
务 配 置 进 行 的 。 

多 重 租赁 性 是 这 样 一 种 情况 ， 许 多 不 
统 体系 结构 多 许 系统 资源 的 有 效 共 孚 。 不 图 17-16 软件 系统 作为 服务 所 提供 的 配置 
过 ， 对 于 每 个 用 户 来 说 必须 感觉 他 们 在 唯 
一 地 使 用 系统 资源 。 多 重 租赁 性 涉及 将 系统 设计 为 在 系统 功能 和 系统 数据 之 间 有 一 个 绝对 的 
分 离 。 因 此 ， 应 该 把 系统 设计 成 所 有 的 操作 都 是 无 状态 的 ， 以 便 共 享 这 些 操 作 。 数 据 要 么 应 . 
该 由 客户 端 提供 ， 要 么 应 该 在 存储 系统 或 数据 库 中 可 以 被 所 有 的 系统 实例 访问 。 

多 重 租赁 系统 的 一 个 特殊 问题 是 数据 管理 。 提 供 数 据 管理 最 简单 的 办 法 是 让 每 一 个 客户 
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“有 目 己 的 数据 库 ， 这 个 数据 库 可 以 按照 他 们 的 想法 使 用 和 配置 。 不 过 ， 这 需要 服务 提供 商 维 
护 许多 不 同 的 数据 库 实例 (每 个 客户 一 个 )， 并 使 这 些 数 据 库 在 需要 的 时 候 是 可 用 的 。 

万 外 一 种 方法 是 ， 服 务 提 供 商 可 以 使 用 一 个 单一 的 数据 库 ， 在 数据 库 中 虚拟 地 隔离 不 同 
的 用 户 。 图 17-17 说 明了 这 一 点 ， 可 以 看 到 数据 库 人 口 还 有 一 个 “ 租 客 标识 符 "， 这 个 标识 
符 将 数据 入 口 关联 到 特定 的 用 户 上 。 通 过 使 用 数据 库 视 图 ， 你 可 以 为 每 一 个 服务 的 客户 提取 
出 数据 入 口 ， 以 此 提供 给 此 客户 单位 中 的 用 户 一 个 虚拟 的 个 人 数据 库 。 使 用 上 面 提 到 的 配置 
特征 ， 可 以 扩展 这 种 方法 来 满足 具体 的 客户 需要 。 
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图 17-17 多 重 租 赁 数据 库 


可 伸缩 性 是 系统 可 以 处 理 不 断 增 加 的 用 户 数量 而 不 降低 向 每 个 用 户 提供 的 整体 的 QoS (服务 
质量 ) 的 一 种 能 力 。 通 常 ， 当 在 SaaS 的 环境 下 考虑 可 伸缩 型 时 ， 我 们 采用 的 是 “增加 扩展 ”而 
不 是 “增强 扩展 ”。 回 忆 一 下 ,“ 增 加 扩展 ”是 指 增加 更 多 的 服务 器 ， 由 此 也 增加 可 以 并 行 处 理 的 
事务 数量 。 可 伸缩 性 是 个 复杂 的 话题 ， 这 里 不 展开 详细 讨论 ， 但 是 可 伸缩 软件 的 一 般 准 则 如 下 。 

1. 所 开发 的 应 用 要 使 得 每 一 个 构件 都 实现 为 简单 的 无 状态 服务 ， 每 一 个 服务 都 可 以 运行 
在 任何 一 个 服务 器 上 。 因 而 在 单一 事务 过 程 中 ， 用 户 可 以 与 运行 在 多 个 不 同 服务 器 上 的 相同 
服务 的 多 个 实例 交互 。 

2. 使 用 异步 交互 来 设计 系统 ， 这 样 应 用 程序 就 不 需要 等 待 交互 的 结果 (比如 一 个 读 请 
求 )。 这 将 允许 应 用 程序 在 等 待 交 互 结 束 的 同时 可 以 继续 执行 当前 的 工作 。 

3. 管理 资源 ， 比 如 网 络 和 数据 库 连 接 ， 将 所 有 资源 作为 一 个 公用 池 ， 因 此 不 让 任何 一 个 
服务 需 游 离 在 资源 之 外 。 

4. 设计 你 的 数据 库 以 允许 细 粒 度 的 加 锁 。 即 当 只 有 记录 的 一 部 分 在 使 用 时 没 必要 锁定 数 
据 库 中 的 所 有 记录 。 

5. 使 用 云 PaaS 平台 ， 例 如 Google App Engine (Sanderson 2012 ) 或 其 他 PaaS 平台 进行 
系统 实现 。 这 些 平台 都 提供 了 在 负载 增加 时 自动 扩展 系统 的 机 制 。 

软件 即 服务 的 概念 是 分 布 式 计 算 的 一 个 主要 模式 转变 。 我 们 已 经 看 到 了 很 多 消费 软件 和 
专业 应 用 (如 Photoshop) 迁移 到 这 种 交付 模式 。 越 来 越 多 的 企业 正在 将 他 们 自己 的 系统 蔡 
换 为 由 外 部 提供 商 如 Salesforce 提供 的 基于 云 的 SaaS 系统 ， 例 如 CRM 和 库存 系统 。 开 发 业 
务 应 用 的 专业 软件 公司 程序 更 喜欢 提供 SaaS ， 因 为 它 简化 了 软件 更 新 和 管理 。 

SaaS 代表 了 一 种 新 的 思考 企业 系统 的 工程 化 的 方式 。 以 面向 用 户 服务 的 方式 来 思考 系 
统 总 是 有 用 的 ， 但 是 直到 SaaS 的 出 现 才 变 成 现实 ， 这 其 中 包含 在 实现 系统 时 使 用 不 同 的 抽 
象 (例如 对 象 )。 如 果 用 户 和 系统 抽象 之 间 能 够 更 加 匹配 ， 那 么 所 得 到 的 系统 就 可 以 更 容易 
理解 、 维 护 和 演化 。 


要 所 
o 分 布 式 系统 的 好 处 在 于 它 可 以 调整 以 应 对 日 益 增长 的 需求 ， 可 以 持续 地 向 用 户 提供 





BI7T® BDRAKALHE 343 


He (BMG ASE SEH AB oP Fea), TAL 18 ot Dh BI SE 
分 布 式 系统 的 设计 需要 考虑 的 问题 包括 透明 性 、 开 放 性 、 可 伸缩 性 、 信 息 安 全 、 服 
务 质量 和 失效 管理 。 
e 客户 一 服务 右 系 统 是 分 布 式 系统 ， 其 中 系统 构建 为 层次 结构 ， 表 示 层 在 客户 端 上 实 
现 。 服 务 需 提供 数据 管理 、 应 用 处 理 和 数据 库 服务 。 
客户 - 服务 器 系统 可 能 有 许多 层 ， 系 统 的 不 同 层 分 布 在 不 同 的 计算 机 上 。 
© 分 布 式 系统 的 体系 结构 模式 包括 主 从 体系 结构 、 两 层 和 多 层 客户 - 服务 硕 体 系 结构 、 
分 布 式 构件 体系 结构 和 对 等 体系 结构 。 
分 布 式 构件 体系 结构 需要 中 间 件 来 处 理 构 件 间 的 通信 并 允许 在 系统 中 增加 和 删除 
构件 。 
对 等 (P2P) 体系 结构 是 分 散 式 体系 结构 ， 其 中 没有 区 分 客户 端 和 服务 器 。 计 算 可 以 
分 布 在 不 同 机 构 的 很 多 系统 中 。 
© SaaS 是 把 应 用 部 署 为 瘦 客 户 - 服务 器 系统 的 一 种 方法 ， 其 中 客户 端 是 Web N AAF o 
《 Peer-to-Peer : Harnessing the Power of Disruptive Technologies 》 这 本 书 尽 管 没 有 太 多 
关于 P2P 体系 结构 的 内 容 ， 但 是 它 是 对 P2P 计算 的 一 个 很 棒 的 介绍 ， 也 讨论 了 在 多 个 P2P 
系统 中 所 采用 的 结构 和 方法 。(A. Oram (ed), O’Reilly and Associates Inc., 2001 ) 
《 Turing software into a service 》 是 一 篇 综述 文章 ， 讨 论 了 面向 服务 计算 的 一 些 准则 。 不 
像 很 多 此 主题 的 其 他 文章 ， 它 揭示 了 隐藏 于 很 多 标准 背后 的 准则 。(M. Turner, D. Budgen and 
P. Brereton, IEEE Computer, 36 (10), October 2003 ) dx.doi.org/10.1109/MC.2003.1236470 
《 Distributed Systems, 5nd edition 》 是 一 本 讨论 分 布 式 系统 设计 和 实现 的 综合 性 教科 书 。 
它 涵 盖 了 P2P 系 统 和 移动 系统 。(G. Coulouris, J. Dollimore, T. Kindberg, and G. Blair. 
Addison-Wesley，2011 ) 
《 Engineering Software as a Service: An Agile Approach Using Cloud Computing 》 这 本 书 
和 作者 的 在 线 课 程 的 主题 相配 套 ， 是 一 本 很 好 的 针对 初学 者 的 实用 性 书籍 。( A. Fox and D. 
Patterson, Strawberry Canyon LLC, 2014 ) http://www.saasbook.info 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap17/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/requirements-and-design 


练习 

17.1 如何 理解 可 伸缩 性 ”讨论 “增强 伸缩 ”和 “增加 伸缩 ”的 区 别 ， 解 释 何 时 使 用 这 些 不 
同 的 可 伸缩 性 方法 。 

17.2 为 什么 分 布 式 软件 系统 要 比 所 有 的 系统 功能 都 实现 在 单一 计算 机 上 的 集中 式 软 件 系 统 
更 复杂 ? 

17.3 ”用 一 个 远程 过 程 调用 的 例子 来 说 明 中 间 件 是 如 何在 分 布 式 系统 中 协调 各 计算 机 之 间 的 
交互 的 。 


17.4 ”在 客户 一 服务 器 系统 体系 结构 中 ， 胖 客户 机 和 瘦 客 户 机 方法 的 根本 差别 在 哪里 ? 
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17.5 


17.6 


17.8 
17:9 


假如 要 求 你 设计 一 个 需要 强身 份 认证 和 权限 认证 的 信息 安全 系统 。 该 系统 必须 保证 系 
统 中 各 个 部 分 之 间 的 通信 不 能 被 攻击 者 拦截 和 读 取 。 提 出 该 系统 最 合适 的 客户 - 服务 
需 体 系 结构 ， 并 解释 为 什么 你 如 此 设计 ， 在 客户 端 和 服务 做 之 间 功 能 应 该 如 何 分 布 ? 
假设 要 开发 一 个 股票 信息 系统 ， 回 客户 提供 对 公司 信息 的 访问 ， 并 能 够 利用 仿真 系统 
对 各 种 投资 情形 做 出 评估 。 不 同 的 客户 会 根据 他 们 的 经 验 而 采取 不 同 的 投资 方式 ， 而 
且 购 买 的 股票 类 型 也 是 不 同 的 。 为 该 系统 提出 一 个 客户 - 服务 需 体 系 结构 ， 指 出 各 个 
功能 在 哪里 实现 ， 并 对 该 模型 做 出 一 些 判 断 。 

使 用 分 布 式 构件 的 方法 ， 为 国家 剧院 订 票 系统 设计 一 个 体系 结构 。 用 户 可 以 查询 空 座 
以 及 预订 一 组 剧场 的 座位 。 系 统 应 当 支 持 退票 ， 因 此 ， 人 们 可 以 退 掉 他 们 的 票 以 便 剧 
院 在 最 后 一 分 钟 将 票 转 售 给 其 他 客户 。 

分 别 给 出 分 散 的 和 半 集 中 的 对 等 体系 结构 的 两 个 优点 和 两 个 缺点 。 

为 什么 以 将 软件 部 堵 为 一 种 服务 可 以 减少 公司 的 IT 文 持 成 本 ? 如 有 果 使 用 此 部 署 模型 ， 
可 能 会 产生 什么 额外 成 本 ? 


17.10 你 的 公司 想 要 从 使 用 桌面 应 用 程序 转变 为 以 服务 的 方式 访问 远程 相同 的 功能 。 确 定 3 


个 可 能 出 现 的 风险 ， 并 建议 如 何 减 少 这 些 风 险 。 
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第 18 章 


Software Engineering, Tenth Edition 


面 问 服务 的 软件 工程 





目标 

本 章 的 目标 是 介绍 面向 服务 的 软件 工程 ， 利 用 该 方法 可 构建 使 用 Web 服务 的 分 布 式 应 
用 。 阅 读 完 本 章 后 ， 你 将 : 

e 理解 关于 Web 服务 、Web 服务 标准 以 及 面向 服务 体系 结构 的 基本 概念 ; 

e 理解 RESTful 服务 的 思想 以 及 RESTful 服务 与 基于 SOAP 的 服务 的 重要 区 别 ; 

e 理解 以 产生 可 复 用 的 Web 服务 为 目的 的 服务 工程 过 程 ; 

o 理解 如 何 使 用 基于 工作 流 的 服务 组 合 来 创建 文 持 业务 过 程 的 面向 服务 的 软件 。 

在 20 世纪 90 年 代 ， 网 络 技术 的 发 展 彻底 改变 了 机 构 的 信息 交流 方式 。 客 户 计 算 机 可 以 
访问 它们 机 构 外 的 远程 服务 器 来 获得 信息 。 但 是 ， 这 种 访问 完全 是 通过 Web 浏览 絮 进 行 的 ， 
要 想 使 用 其 他 程序 来 对 信息 库 进 行 直接 访问 是 不 可 行 的 。 也 就 是 说 ， 在 服务 器 之 间 进 行 任 意 
连接 (比如 一 个 程序 从 不 同 的 提供 商 查询 多 个 目录 ) 是 不 可 能 做 到 的 。 

为 了 解决 这 个 问题 ， 人 们 提出 了 Web 服务 的 概念 ， 即 允许 程序 访问 和 更 新 位 于 网 络 上 
的 资源 。 使 用 Web 服务 ， 机 构 通过 定义 和 建立 一 个 Web 服务 接口 就 可 让 自己 的 信息 被 别 的 
程序 访问 。 这 个 接口 定义 可 用 的 数据 和 如 何 访问 和 使 用 这 些 数据 。 

更 一 般 的 情况 ，Web 服务 是 一 个 标准 的 计算 资源 或 信息 资源 的 表示 ， 这 些 资源 可 以 被 其 
他 程序 使 用 。 这 些 可 能 是 信息 资源 ， 例 如 一 个 零件 目录 ; 也 可 以 是 计算 机 资源 ， 例 如 一 个 专 
门 的 处 理 硕 ; 或 者 是 存储 资源 ， 例 如 ， 存 档 服务 能 够 实现 对 商店 数据 的 长 期 、 可 靠 存 储 ， 依 
据 法 律 这 些 组 织 数 据 必须 保持 多 年 。 

Web 服务 是 更 一 般 化 的 服务 概念 的 一 个 实例 ， 对 于 一 般 的 服务 概念 ， 由 Lovelock 等 
(Lovelock et al.1996 ) 给 出 的 定义 是 这 样 的 : 

由 一 方向 另外 一 方 提供 的 行动 或 能 力 。 尽 管 这 个 过 程 可 能 是 与 一 个 有 形 的 产品 联系 在 一 
起 的 ， 但 是 能 力 本 质 上 是 无 形 的 ， 一 般 不 会 产生 对 任何 生产 要 素 的 拥有 权 ”。 

服务 是 自然 开发 的 软件 构件 ,构件 模 型 在 本 质 上 是 一 些 和 Web 服务 相关 的 标准 。 因 此 ， 
一 个 Web 服务 可 以 被 定义 为 : 

一 个 松 耦 合 、 可 复 用 的 软件 构件 ， 封 装 了 离散 的 功能 ， 该 功能 是 分 布 式 的 并 且 可 以 被 程 
序 访问 。Web 服务 是 通过 标准 互联 网 和 基于 XML 的 协议 被 访问 的 服务 。 

如 在 基于 构件 的 软件 工程 (Component-Based Software Engineering, CBSE) 中 所 定义 
的 ， 服 务 和 软件 构件 之 间 的 一 个 重要 的 区 别 是 ， 服 务 应 该 总 是 独立 的 和 松 斐 合 的 ， 即 它们 应 
该 总 是 以 相同 的 方式 运行 ， 而 与 它们 的 执行 环境 无 关 。 它 们 不 应 该 依赖 于 一 些 在 功能 性 和 非 
功能 性 行为 上 不 一 致 的 外 部 构件 。 因 此 ，Web 服务 没有 “请 求 ” 接 口 ， 在 CBSE 中 ,“ 请 求 ” 
接口 定义 必须 出 现 的 其 他 系统 构件 。Web 服务 接口 是 定义 服务 功能 和 参数 的 简单 的 “提供 ” 
接口 。 


© Lovelock,C.,Vandermerwe,S.and Lewis,B.(1996).Services Marketing.Englewood Cliffs,NJ: Prentice Hall. 
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面 癌 服务 的 系统 是 一 种 开发 分 布 式 系统 的 方法 ， 系 统 构件 是 独立 的 服务 ， 执 行 在 位 于 不 
同 地 理 位 置 的 计算 机 上 。 服务 是 无 关于 平台 和 实现 语言 的 。 可 以 通过 组 合 本 地 服务 和 不 同 提 
供 商 提供 的 外 部 服务 来 构建 软件 系统 ， 系 统 中 的 服务 间 可 以 无 颖 交互 。 

正如 第 17 章 中 讨论 的 ,“ 软 件 即 服务 ”和 “面向 服务 的 系统 ”并 不 一 样 。“ 软 件 即 服务 ” 
意味 着 通过 网 络 远 程 提供 软件 功能 给 用 户 ， 而 不 是 通过 安装 在 用 户 计算 机 上 的 应 用 。“ 面 问 
服务 的 系统 ”是 使 用 可 复 用 的 服务 构件 来 实现 的 ， 这 些 构件 可 以 被 其 他 程序 访问 ， 而 不 是 直 
接 被 用 户 访 问 。 作 为 服务 的 软件 可 以 通过 使 用 面 铝 服务 的 系统 来 实现 。 人 然而， 并 没有 必要 通 
过 这 种 方式 来 实现 软件 以 提供 用 户 服务 。 

采用 面向 服务 的 方法 对 软件 工程 有 如 下 这 些 重要 的 好 处 。 

1. 组 织 内 部 或 者 外 部 的 服务 提供 商都 可 以 提供 服务 。 假 如 这 些 服务 符合 某 些 特定 的 标 
准 ， 组 织 能 够 通过 集成 一 系列 服务 提供 商 提供 的 服务 来 创建 应 用 。 例 如 ， 一 个 制造 业 公司 可 
以 直接 连接 到 他 的 供应 商 所 提供 的 服务 。 

2. 服务 提供 商会 公开 关于 服务 的 信息 ， 所 以 任何 获得 授权 的 用 户 都 可 以 使 用 相应 服务 。 
服务 的 提供 商 和 服务 的 用 户 并 不 需要 在 服务 被 合并 到 某 个 应 用 程序 之 前 协商 服务 能 做 什么 。 

3. 应 用 能 够 延迟 服务 绑 定 直到 这 些 服务 被 部 署 或 者 执行 。 因 此 ， 原 则 上 一 个 使 用 股票 价 
格 服务 的 应 用 能 够 在 系统 执行 的 过 程 中 动态 地 改变 服务 提供 商 。 这 意味 着 应 用 可 以 是 反应 式 
的 ， 并 且 根 据 他 们 的 执行 环境 的 变化 来 调整 操作 。 

4. 任意 创建 新 的 服务 是 可 行 的 。 通 过 一 种 创新 的 方式 连接 已 有 的 服务 ， 服 务 提供 商 可 以 
挖掘 出 新 的 服务 。 

5. 服务 的 用 户 能 够 根据 使 用 而 不 是 提供 商 提供 的 服务 来 付费 。 因 此 ， 应 用 的 作者 能 够 在 
需要 使 用 外 部 服务 的 时 候 付费 ， 而 不 是 购买 一 个 很 少 使 用 但 是 昂 贯 的 构件 。 

6. 应 用 可 以 变 得 更 小 ， 这 对 于 移动 设备 来 说 非常 重要 ， 因 为 移动 设备 的 处 理 能 力 和 内 存 
都 有 限 。 一 些 计算 密集 型 的 处 理 和 异常 处 理 可 以 被 迁移 到 外 部 的 服务 上 。 

面向 服务 的 体系 结构 是 松 耦 合 的 体系 结构 ， 服 务 绑 定 在 执行 阶段 是 可 以 改变 的 。 这 意味 
着 可 能 会 在 不 同 的 时 间 执 行 着 服务 的 不 同 的 但 等 价 的 版 本 。 有 些 系统 完全 是 使 用 Web 服务 
来 构建 的 ， 而 其 他 一 些 系统 是 结合 了 -Web 服务 和 本 地 开发 的 构件 。 为 了 说 明 混合 使 用 服务 
和 构件 的 应 用 是 如 何 组 织 的 ， 考 虑 以 下 情形 。 

车 载 信 息 系 统 为 驾驶 人 员 提 供 关于 天 气 、 交 通 状 况 、 本 地 信息 等 内 容 。 这 是 链接 到 车 上 
的 无 线 电 装置 上 的 ， 这 样 信息 作为 信号 可 以 在 专 设 的 频道 上 传输 。 轿 车 上 配备 GPS 接收 装 
置 来 发 现 自 己 所 在 的 位 置 ， 基 于 这 个 位 置信 息 ， 系 统 访问 一 系列 信息 服务 。 信 息 可 以 使 用 殴 
驶 员 指 定 的 语言 来 传输 。 

图 18-1 说 明了 这 样 一 个 系统 的 可 能 组 成 。 车 载 软件 系统 包括 5 个 模块 。 它 们 处 理 
与 驾驶 人 员 、 与 报告 车 辆 位 置 的 GPS 接收 装置 ， 以 及 与 车 上 的 无 线 电 接收 装置 的 通信 。 
Transmiter (传递 器 ) 和 Receiver (feat) 两 模块 处 理 所 有 与 外 部 设备 之 间 的 通信 。 

车 辆 与 外 部 移动 信息 服务 通信 ， 这 个 外 部 信息 服务 又 聚集 了 很 多 来 自 其 他 模块 的 一 些 
服务 ， 这 些 服 务 提供 了 诸如 气象 、 交 通信 息 、 本 地 设施 等 信息 。 位 于 不 同 地 点 的 不 同 提供 商 
提供 这 些 服务 ， 车 载 系 统 用 外 部 的 发 现 服务 来 定位 本 地 最 合适 的 信息 服务 并 绑 定 它 。 移 动 信 
息 服 务 也 使 用 发 现 服务 来 绑 定 合适 的 气象 、 交 通 以 及 设施 等 服务 。 所 收集 的 信息 被 发 回 汽 车 
后 ， 通 过 一 个 服务 被 翻译 成 彼 驶 人 员 喜 欢 的 语言 。 

这 个 例子 很 好 地 说 明了 面 癌 服务 方法 的 一 个 重要 优势 一 一 在 系统 编程 阶段 和 部 车 阶 段 无 
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须 决 定 使 用 哪个 服务 提供 商 ， 也 无 须知 道 要 访问 什么 特殊 的 服务 。 当 汽车 随处 行驶 的 时 候 ， 
车 载 软件 使 用 发 现 服务 来 寻找 最 为 合适 的 信息 服务 并 绑 定 它 。 由 于 使 用 了 翻译 服务 ， 它 能 够 
跨越 地 域 而 让 不 懂 当 地 语言 的 驾驶 人 员 了 解 到 当地 的 信息 。 
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| A : : -A | 
adie 发 送 位 置 和 | 

服务 接受 信息 济 | ooo amy 接收 用 户 请 求 

_— 


| 
车 载 软件 系统 | 
图 18.1 _ 个 基于 服务 的 车 载 信息 系统 


软件 工程 的 面向 服务 方法 是 一 种 新 的 软件 工程 范式 ， 在 作者 看 来 ， 是 与 面向 对 象 软件 工 
程 同等 重要 的 软件 工程 的 一 个 重要 进展 。 这 种 范式 的 转变 将 加 速 云 计算 和 移动 计算 系统 的 发 
展 ， 这 已 经 并 将 继续 对 系统 产品 和 业务 流程 产生 深远 影响 。Newcomer 和 Lomow (Newcomer 
and Lomow 2005 ) 在 他 们 关于 SOA 的 书 中 总 结 了 面向 服务 的 方法 的 潜力 : 

由 于 关键 技术 的 集成 和 Web 服务 普遍 采用 的 驱动 ， 面 向 服务 的 企业 承诺 极 大 地 提高 企 
业 的 灵活 性 ， 加 快 新 产品 和 服务 推 向 市 场 的 步伐 ， 降 低 IT 的 成 本 并 改善 运作 的 效率 -。 

基于 服务 的 应 用 开发 使 得 公司 和 其 他 组 织 机 构 能 够 相互 协作 以 及 利用 其 他 机 构 的 业务 
功能 。 因 此 ， 那 些 包含 跨 公司 的 大 量 信息 交换 的 系统 能 够 轻易 实现 自动 化 ， 例 如 供应 链 系统 
中 ， 一 家 公司 预订 了 另 一 家 公司 的 商品 。 正 如 在 18.4 节 中 讨论 的 ， 通 过 使 用 标准 编程 语言 
或 者 专业 的 工作 流 语言 ， 连 接 来 自 诸 多 提供 商 的 服务 ， 能 够 创建 基于 服务 的 应 用 。 

服务 提供 和 实现 方面 初始 的 工作 很 大 程度 上 受到 了 软件 产业 在 构件 标准 方面 失败 的 
影响 。 因 此 ， 这 件 事 是 标准 驱动 的 ， 所 有 主要 的 产业 界 企业 都 参与 到 了 标准 的 开发 之 中 。 
这 一 做 法 推动 了 一 整套 标准 ( WS*standards) 和 面向 服务 的 体系 结构 (Service-Oriented 
Architecture, SOA) 的 概念 。 为 了 创造 基于 服务 的 系统 ， 这 些 标准 被 作为 体系 结构 而 提出 ， 
同时 所 有 的 服务 通信 都 是 基于 标准 的 。 然 而 ， 提 出 的 这 些 标准 复杂 并 且 有 显著 的 运行 开销 。 








© Newcomer,E.and Lomow,G.(2005).Understanding SOA with Web Services.Boston:Addison-Wes- 
ley. 
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这 个 问题 导致 许多 公司 采用 了 一 个 基于 REST ful 服务 的 蔡 代 的 体系 结构 。 相 比 于 面 回 服务 的 
体系 结构 ，RESTful 方法 更 加 简单 ， 但 是 相对 不 适合 提供 复杂 功能 的 服务 。 这 两 种 体系 结构 
在 本 章 中 都 有 讨论 。 


18.1 面向 服务 的 体系 结构 


面向 服务 的 体系 结构 (SOA) 的 基本 想法 是 应 用 能 够 包含 可 执行 的 服务 。 服 务 有 定义 明 
确 的 、 公 开 的 接口 ， 并 且 应 用 能 够 基于 服务 是 否 合适 来 选择 服务 。SOA 的 一 个 重要 思想 是 ， 
不 同 的 服务 提供 者 可 以 提供 相同 的 服务 ， 而 应 用 可 以 动态 地 决定 使 用 哪个 服务 提供 者 提供 的 
服务 。 | 
图 18-2 展示 了 SOA 的 结构 。 服 务 的 提供 商 设计 和 实现 服务 并 定义 了 这 些 服务 的 接口 。 
他 们 也 将 这 些 服务 的 有 关 信 息 发 布 到 能 访问 的 
注册 表 上 。 那 些 希 望 利用 某 项 服务 的 服务 请 求 
者 (有 时 叫 作 服 务 客户 ) 发 现 某 个 服务 的 规格 说 
明 ， 从 而 也 定位 了 服务 提供 者 。 然 后 他 们 能 够 
将 自己 的 应 用 绑 定 到 特定 的 服务 ， 并 使 用 标准 





的 服务 协议 与 之 通信 。 
从 一 开始 ， 伴 随 着 技术 发 展 ， 一 直 有 一 个 = (WSDL) 
活跃 的 SOA 标准 化 过 程 。 所 有 主要 便 件 和 软件 图 18-2 面向 服务 的 体系 结构 


公司 都 接受 这 些 标 准 。 因 此 ， 面 向 服务 的 体系 
结构 没有 受到 不 兼容 性 的 困扰 ， 而 在 技术 革新 过 程 中 ， 在 不 同 厂 商 维护 他 们 各 目的 技术 版 权 
的 地 方 ， 通 常 都 会 出 现 不 兼容 性 问题 。 图 18-3 给 出 了 已 经 建立 的 一 些 支持 Web 服务 的 关键 
标准 。 

Web 服务 协议 覆盖 了 面向 服务 的 体系 结构 
的 所 有 方面 : 从 基本 的 服务 信息 交换 (SOAP) 
机 制 到 编程 语言 标准 ( WS-BPEL)。 这 些 标准 


| 
全 部 基于 可 扩展 标记 语言 (eXtensible Markup | | “过程 (WS-BPEL) | 
| | 


XML 技术 (XML、XSD、XSLT 等 ) 


支持 ( WS-Security、WS-Addressing、 等 ) 


Language, XML) 一 种 人 和 计算 机 都 可 识 ERUS, = He ; 
别 的 标记 语言 ， 它 允许 定义 结构 化 的 数据 ， 其 
中 文本 用 一 个 有 意义 的 标识 符 来 标记 。XML 
有 一 系列 的 支持 技术 ,例如 用 于 模式 定义 的 
XSD， 它 用 于 扩展 和 处 理 XML 描述 。Erl ( Erl 
2004) 概要 描述 了 XML 技术 以 及 它们 在 Web 图 18-3 Web 服务 标准 
服务 中 作用 。 

简要 地 说 ， 面 向 Web 服务 的 体系 结构 的 主要 标准 有 以 下 这 些 。 

1. SOAP。 这 是 一 个 支持 服务 之 间 通 信和 的 消息 交换 标准 。 它 定义 服务 之 间 消 息 传 递 的 必 
需 的 和 可 选 的 构件 。SOA 中 的 服务 有 时 被 叫 作 基于 SOAP 的 服务 。 

2. WSDL. Web 服务 定义 语言 ( Web Service Description Language, WSDL) 制定 服务 
接口 的 标准 。 它 给 出 了 服务 是 如 何 操 作 的 (操作 名、 参数 、 它 们 的 类 型 ) 以 及 必须 定义 的 服 

3. WS-BPEL。 这 是 一 个 工作 流 语言 的 标准 ， 工 作 流 语言 用 来 定义 包括 多 个 不 同 服务 的 





服务 定义 ( UDDI、WSDL ) 









: 消息 机 制 (SOAP) | 


= -一 一 z mer = A = > 一 ae ae = a > 
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过 程 程序 。18.3 节 讨 论 过 程 程序 的 概念 。 

通用 描述 、 发 现 和 和 集成 (Universal Description, Discovery, and Integration, UDDI) 标 
准 定 义 了 服务 规格 说 明 的 组 成 成 分 ， 其 目的 是 帮助 潜在 的 用 户 来 发 现 服务 的 存在 。 该 标准 的 
目的 是 允许 企业 建立 带 有 UDDI 描述 的 注册 表 的 服务 注册 。 许 多 公司 在 21 世纪 初期 就 建立 
T UDDI 注册 服务 ,但 是 用 户 更 倾向 于 使 用 标准 搜索 引擎 来 发 现 服务 。 所 有 公开 的 UDDI 注 
册 现 已 全 部 被 关闭 。 

主要 的 SOA 标准 受到 一 系列 SOA 的 更 专业 方面 的 标准 的 支持 。 存 在 非常 多 的 支持 标 
准 ， 因 为 它们 希望 在 不 同类 型 的 应 用 中 支持 SOA。 这 些 标准 的 例子 包括 : 

1. WS-Reliable Messaging， 一 个 确保 消息 将 会 传递 一 次 且 只 传递 一 次 的 消息 交换 标准 。 

2. WS-Security， 是 一 套 支 持 Web 服务 信息 安全 性 的 标准 ， 包 括 指定 信息 安全 政策 定义 
的 标准 和 禾 盖 数字 签名 使 用 的 标准 。 

3. WS-Addressing， 定 义 在 一 个 SOAP 消息 中 如 何 表达 地 址 信息 。 

4. WS-Transactions， 指 定 在 分 布 式 服务 之 间 的 事务 应 该 怎样 协调 。 

Web 服务 标准 是 一 个 很 大 的 话题 ， 这 里 无 法 详细 地 讨论 它们 。 有 兴趣 的 读者 可 以 阅读 
Erl ( Erl 2004, 2005) 的 书 ， 以 了 解 这 些 标准 的 概况 。 有 关 它 们 的 详细 描述 也 可 以 通过 Web 
上 的 公开 文档 (W3C 2013 ) 获得 。 


18.1.1 SOA 中 的 服务 构件 


正如 17.1 节 中 解释 的 ， 在 分 布 式 计算 系统 中 ， 消 息 交 换 是 一 个 用 于 协同 行为 的 重要 机 
fil, SOA 中 的 服务 通过 交换 XML 格式 的 消息 来 通信 ， 这 些 消 息 使 用 一 些 标准 互联 网 传输 协 
议 (40, HTTP, TCP/IP) 来 传递 。 

服务 定义 它 对 另 一 个 服务 的 需要 ， 方 法 是 在 消息 中 陈述 需求 并 发 送 给 相应 的 服务 。 接 收 
方 解 析 消 息 ， 执 行 计 算 ， 完 成 后 发 送 一 个 回复 ， 作 为 消息 ， 给 请 求 的 服务 。 提 出 请 求 的 服务 
于 是 解析 回复 的 消息 ， 提 取 所 需要 的 信息 。 与 软件 构件 不 同 ， 服 务 不 使 用 远程 过 程 调用 或 远 
程 方法 调用 来 访问 与 其 他 服务 关联 的 功能 。 

当 你 想 要 使 用 Web 服务 的 时 候 ， 你 需要 知道 服务 在 哪里 ( 它 的 URI) 以 及 接口 细节 。 这 
些 会 在 服务 描述 中 说 明 ， 服 务 描述 用 XML 语言 书写 ， 被 称 为 Web 服务 描述 语言 ( WSDL)。 
WSDL 规格 说 明定 义 了 有 关 Web 服务 的 3 个 方面 : 服务 做 什么 ， 如 何 通 信 ， 在 哪里 能 找到 它 。 

1. WSDL 文档 的 “what” 部 分 ， 称 为 接口 ， 指 定 服务 所 支持 的 操作 ， 并 且 定 义 服 务 发 
送 和 接收 的 消息 的 格式 。 

2. WSDL 文档 的 “how” 部 分 ， 称 为 一 个 绑 
定 ， 把 抽象 接口 映射 到 一 组 具体 的 协议 上 。 绑 定 
指定 了 如 何 与 一 个 Web 服务 通信 的 技术 细节 。 





XML 名 字 空 间 声明 
3. WSDL 文档 的 “where” 部 分 ， 描 述 一 个 类 型 声明 
特定 的 Web 服务 实现 的 位 置 ( 它 的 端点 )。 
WSDL 概念 模型 ( 见 图 18-4)， 给 出 了 服务 乡 定 声明 
Bers catini ; 体 实现 rie 
描述 的 元 素 。 其 中 每 个 元 素 用 XML 表达 并 且 可 请 所 声明 


以 在 单独 的 文件 中 完成 。 这 些 元 素 是 ; TENES AEA m: 
1. 一 个 介绍 性 的 部 分 ， 通 常 定 义 XML 所 使 人 
用 的 名 字 空 间 ， 可 能 还 会 包含 一 个 提供 有 关 服 务 的 额外 信息 的 文档 段 。 
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2. 一 个 可 选 的 对 于 服务 所 交换 的 消息 中 所 使 用 的 类 型 的 描述 。 

3. 一 个 对 于 服务 接口 ( 即 服务 为 其 他 的 服务 或 用 户 提 供 的 操作 ) 的 描述 。 

4. 一 个 对 于 服务 所 处 理 的 输入 和 输出 消息 的 描述 。 

5. 一 个 对 于 服务 所 使 用 的 绑 定 〈 即 将 用 于 发 送 和 接收 消息 的 消息 通信 协议 ) 的 描述 。 默 
认 是 SOAP， 但 也 可 以 指定 其 他 绑 定 。 绑 定 说 明 如 何 将 与 服务 关联 的 输入 和 输出 消息 封装 在 
消息 中 ， 并 且 指 定 所 使 用 的 通信 协议 。 WU A, WMC EE BS PE 
符 将 包括 在 内 。 

6. 一 个 端点 规格 说 明 ， 这 是 服务 的 物理 位 置 ， 表 示 为 统一 资源 标识 符 (URI)， 即 可 以 在 
互联 网 上 访问 的 资源 地 址 。 

图 18-5 展示 了 一 个 简单 服务 的 部 分 接口 ， 给 定 日 期 和 地 点 (精确 到 某 个 国家 的 某 个 城 
镇 )， 该 服务 可 以 返回 当地 在 指定 日 期 的 最 高 和 最 低温 度 。 输 入 的 消息 也 确定 了 是 按照 摄氏 
度 还 是 华氏 度 来 返回 温度 。 


定义 一 些 所 使 用 的 类 型 。 假 设 命 名 空间 前 级 “ws” 指 癌 XML schemas 
的 命名 空间 URI， 与 这 个 定义 相关 联 的 命名 空间 前 级 是 weathns。 


<types> 
<xs: schema targetNameSpace = “http://. . ./weathns” 
xmins: weathns= “http://. . /weathns” > 
<xs:element name = “PlaceAndDate” type= “pdrec” /> 
<xs:element name = “MaxMinTemp” type= “mmtrec” /> 
<xs:element name = “InDataFault” type= “errmess” /> 


<xs:complexType name= “pdrec’” 

<xs:sequence> 
<xs:element naime = “town” type= “xs:string” /> 
<xs:element name = “country” type= “xs:string” /> 
<xs:element name = “day” type= “xs:date” /> 

</xs:complexType> 


这 里 是 MaxMinType 和 InDataFault 的 定义 。 
</schema> 


</types> 


现在 定义 接口 及 其 操作 。 这 里 ， 只 有 一 个 返回 最 高 和 最 低温 度 的 操作 。 


<interface name = “weatherinfo” > 
<operationname= “getMaxMinTemps pattern= “wsdlns: in-out” > 
<input messageLabel= “In” element= “weathns:PlaceAndDate” /> 
<output messageLabel= “Out” element= “weathns:MaxMinTemp” /> 
<outfault messageLabel= “Out” element= “weathns:InDataFault” /> 

</operation> 

</interface> 





图 18-5 一 个 Web 服务 的 部 分 WSDL 描述 


基于 XML 服务 的 描述 包括 对 XML 命名 空间 的 定义 。 命 名 空间 中 的 标识 符 优 先 级 高 于 
XML 描述 中 的 任何 标识 符 ， 这 样 可 以 区 分 XML 描述 中 位 于 不 同 部 分 但 有 相同 命名 的 标识 
符 。 为 了 理解 本 书 中 的 例子 ， 你 并 不 需要 了 解 命名 空间 的 细节 。 你 只 需要 知道 命名 前 会 加 上 
命名 空间 标识 符 ， 也 就 是 说 namespace:name 应 该 是 唯一 的 。 
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在 图 18-5 中 ， 描 述 的 第 一 部 分 展示 了 用 于 服务 规格 说 明 的 部 分 元 素 和 类 型 定义 ， 定义 
了 元 素 PlaceAndDate, MaxMinTemp 和 InDataFaul。 在 这 里 给 出 了 PlaceAndDate 的 规格 
说 明 ， 读 者 可 以 认为 其 记录 了 3 个 值 域 ,， 分别 为 town、country 和 date。 类 似 地 可 以 定义 
MaxMinTemp 和 InDataFaul。 

描述 的 第 二 部 分 展示 了 服务 接 日 是 如 何 定 义 的 。 虽 然 服 务 中 可 以 包含 的 操作 数量 并 没 
有 限制 ， 但 是 在 这 个 例子 中 ， 服 务 weatherInfo 只 有 一 个 操作 。 服 务 weatherInfo 的 操作 符合 
in-out 模式 ， 该 模式 每 接收 一 个 消息 就 发 出 一 个 消息 。WSDL 2.0 规格 说 明 人 允许 一 系列 消息 
交换 模式 ， 例 如 in-only、in-out、out-only 、in-optional-out、out-in。 输 入 和 输出 的 消息 ( 涉 
及 先前 类 型 部 分 的 定义 ) 就 定义 好 了 。 

WSDL 中 服务 接口 的 定义 是 : 关于 服务 签名 《〈 即 服务 的 操作 和 操作 的 参数 ) 的 描述 。 描 
述 并 不 涉及 服务 的 语义 以 及 服务 的 非 功能 特性 ， 比 如 性 能 和 可 依赖 性 。 如 果 想 要 使 用 服务 ， 
就 必须 弄 明 白 服 务 到 底 能 做 什么 以 及 输入 、 输 出 消息 的 含义 ,而 服务 的 性 能 和 可 依赖 性 需要 
通过 实验 来 找 出 。 服 务实 际 做 了 什么 有 可 能 被 误解 ， 而 有 意义 的 命名 和 文档 可 以 帮助 理解 服 
务 的 功能 。 

用 XML 书写 的 完整 服务 描述 ， 读 起 来 是 兄长 MEERI WSDL 描述 现在 很 少 手 
工 书写 ， 描述 中 的 大 多 数 信息 都 是 自动 生成 的 。 


18.2 RESTful 服务 


Web 服务 和 面向 服务 的 软件 工程 的 初始 研发 都 是 基于 标准 的 ， 并 且 服 务 间 交换 的 消息 
是 基于 XML 的 。 这 是 开发 复杂 服务 、 动 态 服务 绑 定 、 控 制服 务 质量 以 及 服务 可 依赖 性 的 一 
种 一 般 性 方法 。 然 而 ， 随 着 服务 的 开发 ， 人 们 慢 慢 发 现 绝 大 多 数 服务 都 是 单一 功能 的 ， 这 些 
服务 有 着 相对 简单 的 输入 和 输出 接口 。 服 务 使 用 者 对 动态 绑 定 和 使 用 多 个 服务 提供 商 并 不 真 
正 感 兴 趣 。 他 们 几乎 不 使 用 关于 服务 质量 、 可 靠 性 等 Web 服务 标准 。 

问题 是 ，Web 服务 标准 是 “重量 级 ”的 标准 ， 这 些 标准 有 时 候 过 于 一 般 化 和 低 效 。 实 现 
这 些 标准 需要 处 理 大 量 的 XML 消息 ， 包 括 产 生 、 传 输 和 解析 XML 消息 。 这 降低 了 服务 间 
通信 速率 ， 对 于 高 否 吐 率 的 系统 来 说 ， 需 要 额外 的 硬件 来 实现 要 求 的 服务 质量 。 

为 了 应 对 这 种 情况 ， 人 们 开发 了 Web 服务 体系 结构 ， 这 是 作为 替代 的 一 种 “ 轻 量 
级 ”的 方法 。 这 种 方法 符合 REST 体系 结构 的 风格 ， 其 中 REST 意 为 表示 层 状 态 转化 
( Representational State Transfer) ( Fielding 2000 )。REST 是 一 种 基于 从 服务 器 回 客 户 端 传 
输 可 识别 资源 的 体系 结构 风格 。 这 种 风格 作为 一 个 在 整体 位 于 网 络 之 下 ， 并 且 是 一 个 比 
SOAP/WSDL 更 简单 的 实现 Web 服务 接口 的 方法 。 

资源 是 RESTful 体系 结构 中 的 基本 元 素 。 从 本 质 上 来 说 ,资源 仅仅 是 一 种 数据 元 素 ， 
例如 目录 、 医 疗 记录 或 者 一 份 文件 (如 本 章节 )。 总 之 ， 资 源 可 以 有 多 种 表现 形式 ; 换言之 ， 
它们 能 够 以 不 同 的 格式 存在 。 例 如 ， 本 章 有 3 种 表现 形式 ， 分 别 是 : 微软 的 Word 的 形式 ， 
用 于 编辑 ; PDF 的 形式 ， 用 于 网 页 展示 ; InDesign 的 形式 ， 用 于 出 版 。 这 些 表现 形式 底层 的 
由 文本 和 图 片 构成 的 逻辑 资源 是 一 致 的 。 

在 RESTful 体系 结构 中 ,任何 事物 都 可 以 表示 成 一 种 资源 。 资 源 有 一 个 唯一 标识 符 ， 
也 就 是 它们 的 URL。 资 源 有 一 点 像 对 象 ， 有 4 种 基本 的 多 态 操作 ， 如 图 18-6a 中 所 示 。 

1. 创建 一 一 创建 资源 。 

2. 读 取 一 一 返回 资源 的 一 种 表现 形式 。 
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3, 更 新 一 一 改变 资源 的 值 。 

4. 删除 一 一 使 资源 不 可 访问 。 

例如 ， 网 络 是 一 个 符合 RESTful 体系 结构 的 系统 。 网 页 是 资源 ， 网 页 的 URL EE 
一 标识 符 。 

网 络 协议 http 和 https 都 是 基于 POST. GET, PUT 和 DELETE 这 4 种 动作 。 这 4 种 动 
作 映 射 到 4 种 基本 资源 操作 ， 如 图 18-6 b 所 示 。 


CREATE POST 


Web 可 访问 
的 资源 R 


UPDATE PUT 
a) 通用 资源 动作 b ) Web 资 源 


图 18-6 ”资源 和 动作 






DELETE 资源 R READ DELETE 


1. POST 用 于 创建 资源 。 它 有 创建 资源 的 相关 数据 。 

2. GET 用 于 读 取 资源 的 值 ， 并 以 特定 的 表现 形式 返回 给 请 求 者 ， 比 如 XHTML， 可 以 
在 网 络 浏览 右 中 呈现 。 

3. PUT 用 于 更 新 资源 的 值 。 

4. DELETE 用 于 删除 资源 。 

在 某 种 程度 上 ， 所 有 服务 都 在 操作 数据 。 例 如 ，18.2 节 中 描述 的 服务 使 用 了 天 气 信息 数 
据 库 ， 它 会 根据 给 定 的 数据 返回 某 地 最 高 和 最 低温 度 。 基 于 SOAP 的 服务 对 这 个 数据 库 热 行 
操作 ， 从 而 返回 特定 的 值 。RESTful 服务 (Richardson and Ruby 2007 ) 直接 访问 数据 。 

当 使 用 RESTful 方法 时 ， 都 是 利用 数据 的 URL 来 暴露 和 访问 数据 的 。RESTful 服务 使 
用 http 或 者 https 协议 ， 只 有 -POST、GET、PUT 和 DELETE 这 4 种 动作 。 因 此 ， 数 据 库 中 
各 地 的 天 气 数据 可 以 通过 URL 来 访问 ， 这些 URL 如 下 所 示 : 

http://weather-info-example.net/temperatures/boston 

http://weather-info-example.net/temperatures/edinburgh 

这 些 URL 会 调用 GET 操作 并 返回 一 个 关于 最 高 和 最 低温 度 的 列表 。 为 了 请 求 一 个 特定 
日 期 的 温度 ， 可 以 使 用 如 下 的 URL 查询 : 

http://weather-info-example.net/temperatures/edinburgh?date=20140226 

鉴于 世界 上 可 能 会 有 几 个 地 方 使 用 相同 的 名 字 ，URL 查询 也 可 以 用 来 区 分 请 求 : 

http://weather-info-example.net/temperatures/boston?date=20140226&country=USA &state= 
“Mass” 

RESTful 服务 和 基于 SOAP 的 服务 之 间 的 一 个 重要 区 别 是 ，RESTful 服务 是 不 完全 基 
于 XML 的 。 所 以 ， 当 请 求 、 创 建 或 者 改变 一 个 资源 时 ， 就 应 该 确定 其 表现 形式 。 这 一 点 
对 RESTful 服务 来 说 非常 重要 ， 因 为 RESTful 服务 可 能 会 使 用 JSON (Javascript Object 
Notation) 和 XML。 以 JSON 表示 的 资源 比 基 于 XML 表示 的 资源 处 理 起 来 更 高 效 ， 从 而 可 
以 降低 服务 调用 中 的 开销 。 因 此 ， 上 文 关 于 波士顿 最 高 和 最 低温 度 的 请 求 可 能 会 返回 如 下 


PIS BAaRFWKALH 353 


信息 : 

{ 

“place”: “Boston”, 

“country “USA”, 

“state”: “Mass”, 

“date”: "26 Feb 2014”, 

“units”: “Fahrenheit”, 

“max temp”: 41, 

“min temp”: 29 

} 

在 RESTful 服务 中 ， 一 个 GET 请 求 的 响应 可 能 包含 多 个 URL。 因 此 ,如果 一 个 请 求 的 
响应 是 一 系列 资源 ， 那 么 响应 中 可 以 包含 这 些 服务 的 URL。 发 起 请 求 的 服务 可 能 会 以 自己 
的 方式 处 理 请 求 。 因 此 ， 如 果 请 求 天 气 信息 时 ， 所 请 求 的 地 点 的 名 字 有 重复 ， 可 能 会 返回 所 
有 匹配 所 该 地 点 的 URL. fil an: 

http://weather-info-example.net/temperatures/edinburgh-scotland 

http://weather-info-example.net/temperatures/edinburgh-australia 
http://weather-info-example.net/temperatures/edinburgh-maryland 

RESTful 服务 的 一 个 基本 设计 原则 是 服务 应 该 是 无 状态 的 。 换 言 之 ， 在 一 个 交互 会 话 
中 ， 资 源 本 身 不 应 该 包含 任何 状态 信息 ， 比 如 最 后 一 次 请 求 的 时 间 。 反 而 ， 所 有 必要 的 状态 
信息 都 应 该 返回 到 请 求 方 。 如 果 在 后 续 的 请 求 中 需要 状态 信息 ， 那么 这 些 信息 应 该 由 请 求 方 
返回 到 服务 如 。 

在 过 去 儿 年 中 由 于 移动 设备 的 广泛 使 用 ，RESTful 服务 已 经 被 更 广泛 地 使 用 了 。 移 动 设 
备 的 处 理 能 力 有 限 ， 所 以 RESTful 服务 的 开销 越 小 ， 系 统 性 能 越 好 。 为 一 个 已 有 的 网 站 实 
现 一 个 RESTful 的 API 通常 是 相对 简单 的 ， 所 以 REST ful 服务 对 已 有 的 网 站 来 说 也 很 容易 
使 用 。 

然而 ，RESTful 方法 也 存在 一 些 问题 : 

1. 当 一 个 服务 有 着 复杂 的 接口 并 且 不 是 一 个 简单 的 资源 ， 那 么 设计 一 系列 RESTful 服 
satan 雍 服 务 的 接口 将 变 得 困难 。 

2. 并 没有 关于 RESTful 接口 描述 的 标准 ， 因 此 服务 使 用 者 必须 依赖 于 非 正式 的 文档 来 
理解 接口 。 

3. 当 使 用 RESTful 服务 时 ， 必 须 实现 你 自己 的 基础 设施 ， 以 便 监 视 和 管理 服务 质量 和 
服务 可 靠 性 的 基础 设施 。 基 于 SOAP 的 服务 有 侨 外 的 基础 设施 支持 标准 ， 例如 WS- 
Reliability 和 WS-Transactions。 

Pautasso 等 ( Pautasso, Zimmermann, 
and Leymann 2008 ) 讨论 了 什么 时 候 使 用 
RESTful 和 基于 SOAP 的 方法 。 然 而 ， 通 常 
可 以 提供 基于 SOAP 和 RESTful 的 接口 给 相 
同 的 服务 或 资源 ( 见 图 18-7)。 这 种 双重 方 
法 现在 在 云 服务 提供 商 中 比较 常见 ， 如 微软 、 
谷歌 和 亚马逊 。 服 务 的 使 用 者 就 可 以 选择 最 图 18-7 RESTful 和 基于 SOAP 的 API 
适合 目 己 应 用 的 服务 访问 方法 。 


基于 SOAP 
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18.3 ”服务 工程 
服务 工程 是 开发 服务 的 过 程 ， 这 种 服务 在 面 回 服务 的 应 用 中 是 可 复 用 的 。 它 和 构件 工程 
非常 类 似 。 服 务工 程 师 必须 确保 服务 代表 可 复 用 的 抽象 ， 能 用 于 不 同系 统 的 抽象 。 他 们 要 设 
计 开 发 与 此 抽象 关联 的 有 用 的 一 些 功 能 ， 而 且 确 保 服务 是 健壮 的 和 可 靠 的 。 他 们 必须 为 服务 
提供 文档 ， 以 便 需 要 的 用 户 能 够 发 现 和 了 解 该 服务 。 

在 服务 工程 过 程 中 有 如 下 3 个 逻辑 阶段 (如 图 18-8 所 示 )。 

1. 可 选 服务 识别 ， 在 此 阶段 识别 那 
些 需要 实现 的 服务 ， 并 定义 服务 需求 。 

2. 服务 设计 ， 在 此 阶段 设计 逻辑 和 
WSDL 的 服务 接口 (基于 SOAP 和 /或 | 
RESTful 的 )。 

3. 服务 实现 和 部 署 ， 在 此 阶段 实现 
并 测试 服务 ， 使 之 可 用 。 i 

如 第 16 章 中 提 到 的 ， 可 复 用 构件 图 18-8 ”服务 工程 过 程 
的 开发 可 能 是 在 已 实现 的 并 在 应 用 程序 
中 使 用 的 现 有 构件 的 基础 上 开始 的 。 服 务 同 样 如 此 ， 此 过 程 的 起 点 往往 是 一 个 现 有 的 服务 或 
者 要 转化 为 服务 的 构件 。 在 这 种 情况 下 ， 设 计 过 程 涉及 归纳 现 有 构件 ， 删 除 应 用 程序 特定 的 
功能 。 实 现 意 味 着 通过 添加 服务 接口 改写 原来 的 构件 ， 并 实现 所 需要 的 泛 化 。 

18.3.1 可 选 服务 识别 

面向 服务 计算 的 基本 理念 是 服务 应 该 支持 业务 过 程 。 由 于 每 个 机 构 都 有 很 多 的 过 程 ， 因 
此 存在 许多 可 能 的 服务 可 以 加 以 实现 。 可 选 服 务 识别 需要 理解 和 分 析 组 织 机 构 的 业务 过 程 ， 
来 决定 哪些 可 复 用 服务 可 能 需要 实现 以 支持 这 些 过 程 。 

Erl (Erl 2005 ) 建议 定义 如 下 3 种 基本 服务 类 型 。 

1. 实用 服务 。 这 些 服务 实现 某 些 一 般 性 的 功能 ， 可 用 于 不 同 的 业务 过 程 。 一 个 实用 服务 
的 例子 是 货币 转换 服务 ， 通 过 访问 它 可 以 计算 一 种 货币 (例如 美元 ) 对 另外 一 种 货币 〈 例 如 
欧元 ) 的 兑换 。 

2. 业务 服务 。 这 些 服 务 是 与 特殊 业务 功能 相关 的 服务 。 大 学 里 的 业务 功能 的 例子 是 学 生 
为 一 门 课程 注册 登记 。 | 

3. 协同 或 过 程 服务 。 这 些 服务 是 为 支持 更 一 般 的 业务 过 程 ， 这 些 业 务 过 程 总 是 包含 不 同 
的 角色 和 活动 。 公 司 里 的 协同 服务 的 例子 是 订货 服务 ， 允 许 完 成 一 个 包含 厂商 、 产 品 以 及 付 
款 方式 的 订单 。 

Ern 也 建议 将 服务 看 作 是 面向 任务 的 或 面向 实体 的 。 面 向 任务 的 服务 是 与 某 项 活动 关联 
的 ; 而 面向 实体 的 服务 就 像 对 象 ， 即 与 某 个 业务 实体 美 联 ， 这 样 的 业务 实体 的 例子 是 一 张 求 
职 申请 表 。 图 18-9 给 出 了 一 些 面向 任务 的 和 面向 实体 的 服务 的 例子 。 实 用 服务 或 业务 服务 
可 能 是 面向 实体 的 或 是 面向 任务 的 ,但 协同 服务 总 是 面向 任务 的 。 

可 选 服务 识别 阶段 的 目标 应 该 是 找 出 那些 逻辑 上 相关 的 、 独 立 的 且 可 复 用 的 服务 。Erl 
的 分 类 在 这 方面 是 有 帮助 的 。 它 给 出 了 如 何 通过 对 业务 实体 和 业务 活动 的 观察 来 发 现 可 复 
用 的 服务 。 然 而 ， 识 别 可 选 服 务 有 时 是 很 困难 的 ， 因 为 你 不 得 不 想象 这 项 服务 将 是 如 何 使 用 


RISE BQARAWHKHLE 355 


的 。 你 必须 考虑 所 有 可 能 的 候选 项 ， 然 后 通过 一 系列 关于 它们 的 问题 来 分 析 是 否 是 有 用 的 服 
务 。 能 帮助 你 发 现 可 复 用 的 服务 的 问题 包括 以 下 这 些 。 

1. 对 一 个 面 癌 实体 的 服务 ， 它 是 与 单个 用 于 不 同业 务 过 程 的 逻辑 实体 关联 的 吗 ? 通 
稼 情况 下 在 必须 文 持 的 实体 上 都 执行 哪些 操作 ? 这 些 操作 是 否 和 RESTful 服务 的 PUT、 
CREATE, POST 和 DELETE 操作 相 一 致 ? 

2. 对 于 一 个 面向 任务 的 服务 ， 该 任务 是 在 机 构 中 由 不 同 的 人 执行 的 吗 ? 当 提 供 单个 支 
持 服务 时 要 发 生 不 可 避免 的 标准 化 问题 ， 他 们 愿意 接受 吗 ? 这 些 能 够 适应 RESTful 的 模型 
吗 ? 或 者 应 该 重新 设计 面向 实体 的 服务 吗 ? 

3. 服务 是 独立 的 吗 ? 也 就 是 说 ， 它 在 多 大 程度 上 依赖 其 他 服务 的 可 用 性 ? 

4. 服务 必须 维护 状态 吗 ? 如 果 需 要 状态 信息 ,那么 这 些 信息 必须 存储 在 数据 库 中 或 者 作 
为 参数 传递 给 服务 。 服 务 和 所 需 的 数据 库 之 间 将 会 有 依赖 关系 ， 这 将 影响 服务 的 复 用 性 。 总 
的 来 说 ， 那 些 具 有 已 传递 状态 的 服务 是 易于 复 用 的 ， 因 为 不 需要 绑 定数 据 库 。 

5. 服务 能 被 机 构 外 的 客户 使 用 吗 ? 举例 来 说 ， 一 个 与 目录 关联 的 面向 实体 的 服务 可 以 既 
由 内 部 访问 又 可 以 由 外 部 访问 吗 ? | 

6. 服务 的 不 同 用 户 可 能 有 不 同 的 非 功 能 性 需求 吗 ? 如 果 有 ， 那 么 就 应 该 实现 不 止 一 个 版 
本 的 服务 。 









Oo | 实用 服务 | 业务 服务 | 协同 服务 
pe ie 
员工 定位 器 支付 外 部 供应 商 
se [etiam [Sete [ 
Web 表格 到 XML 转换 器 学 生 申 请 表 
图 18-9 ”服务 类 别 


这 些 问 题 的 答案 有 助 于 我 们 去 选择 和 精练 那些 将 被 实现 为 服务 的 抽象 。 然 而 ， 决 定 哪个 
是 最 好 的 服务 并 没有 公式 化 的 方法 ， 因 此 可 选 服务 识别 是 一 个 基于 技术 和 经 验 的 过 程 。 

可 用 服务 选择 过 程 的 输出 是 一 组 找到 的 服务 以 及 相关 的 需求 。 功 能 性 服务 需求 需要 定义 
服务 应 该 做 什么 。 非 功能 性 服务 需求 需要 定义 服务 的 信息 安全 性 、 性 能 和 可 用 性 需求 。 

为 了 帮助 读者 理解 可 选 服务 的 识别 和 实现 ， 考 虑 下 面 的 例子 : 

一 家 卖 计 算 机 设备 的 大 公司 ， 已 经 为 一 些 大 客户 的 核准 配置 安排 了 特殊 价格 。 为 了 方 
便 自 动 订购 ， 公 司 希 望 制 作 一 个 目录 服务 ， 允 许 客 户 选 择 他 们 需要 的 设备 。 与 消费 者 目录 不 
同 ,订单 不 是 直接 通过 目录 接口 下 达 。 相 反 ， 是 通过 每 家 公司 的 基于 Web 的 采购 系统 下 订 
单 的 ， 每 家 公司 以 Web 服务 来 访问 目录 。 绝 大 多 数 公司 有 自己 的 预算 流程 和 订单 批复 流程 ， 
在 下 订单 时 必须 遵循 他 们 自己 的 流程 。 

目录 服务 是 支持 业务 操作 的 面向 实体 服务 的 一 个 例子 。 目 录 服 务 的 功能 性 需求 如 下 。 

1. 目录 的 特定 版 本 将 提供 给 每 家 用 户 公 司 。 它 包括 由 客户 公司 的 员工 所 订购 的 配置 和 设 
备 以 及 目录 项 的 议定 价格 。 

2. 目录 应 该 允许 客户 公司 职员 下 载 目录 版 本 以 便 脱 机 浏览 。 

3. 目录 应 该 允许 用 户 比 较 最 多 6 个 目录 项 的 规格 说 明和 价格 。 

4. 目录 应 该 为 用 户 提 供 浏 览 和 搜索 工具 。 

5. 目录 的 用 户 应 该 能 够 根据 某 一 特定 目录 项 的 代码 发 现 可 预期 的 交付 日 期 。 
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6. 目录 的 用 户 应 该 能 够 下 “虚拟 订单 "， 即 所 需 的 项 可 以 为 他 们 保留 48 小 时 。 虚 拟订 单 
必须 通过 采购 系统 下 达 的 一 个 真实 订单 来 确定 。 确 认 消 息 必须 在 虚 订 单 的 48 小 时 内 收 到 。 

除了 这 些 功能 性 需求 之 外 ， 目 录 还 有 许多 的 非 功 能 性 需求 。 

1. 访问 目录 服务 的 权限 将 限制 为 认可 的 机 构 职 员 。 

2. 提供 给 一 客户 的 价格 和 配置 信息 将 是 保密 的 ， 对 任何 其 他 客户 来 说 是 不 可 见 的 。 

3. 目录 在 从 格林 尼 治 标准 时 间 0700 到 格林 尼 治 标准 时 间 1100 都 将 可 用 且 不 间断 。 

4. 目录 服务 在 峰值 负载 时 能 够 每 秒 处 理 高 达 100 个 请 求 。 

注意 这 里 没有 有 关 目 录 服 务 响应 时 间 的 非 功能 性 需求 。 这 依赖 于 目录 的 大 小 和 预计 的 并 
发 用 户 的 数量 。 因 为 这 不 是 一 个 时 间 要 求 极 高 的 服务 ， 所 以 不 需要 在 这 个 阶段 指定 它 。 


18.3.2 服务 接口 设计 


一 旦 选择 了 可 选 服务 ， 服 务工 程 过 程 的 下 一 个 阶段 就 是 设计 服务 接口 。 这 包括 定义 与 服 
务 关 联 的 操作 以 及 它们 的 参数 。 如 果 使 用 基于 SOAP 的 服务 ， 就 必须 设计 输入 和 输出 消息 。 
如 果 使 用 RESTful 服务 ， 就 必须 考虑 需要 的 资源 以 及 如 何 使 用 标准 操作 来 实现 服务 操作 。 

服务 接口 设计 的 起 点 是 抽象 接口 设计 。 确 定 与 服务 相关 的 实体 和 操作 、 服 务 的 输入 和 
输出 ， 以 及 与 这 些 操作 相关 的 异常 。 然 后 需要 思考 抽象 接口 如 何 实现 成 基于 SOAP 或 者 
RESTful 的 服务 。 

如 果 选 择 了 基于 SOAP 的 方法 ， 就 必须 设计 服务 发 出 和 收 到 的 XML 消息 的 结构 。 操 作 
和 消息 是 由 WSDL 编写 的 接口 描述 的 基础 。 如 果 选 择 了 RESTful 方法 ， 就 必须 设计 如 何 将 
服务 操作 映射 到 RESTful 操作 上 。 

抽象 接口 设计 从 服务 需求 、 定 义 操 作 名 称 和 参数 开始 。 在 此 阶段 ， 也 需要 定义 调用 服务 
操作 可 能 产生 的 异常 。 图 18-10 展示 了 实现 了 需求 的 目录 操作 。 没 有 必要 为 这 些 列 出 细节 ， 
你 会 在 设计 过 程 的 下 一 个 阶段 为 其 添加 细节 。 


| 
为 特定 客户 创建 一 个 目录 的 特殊 版 本 。 包 括 一 个 可 选 参数 来 创建 目录 的 一 个 
可 下 载 的 PDF 版 本 


Lookup 显示 与 特殊 目录 项 相关 联 的 所 有 数据 


此 操作 接受 逻辑 表达 式 ， 根 据 此 表达 式 搜 索 目 录 。 显 示 能 匹配 表达 式 的 所 有 


MakeCatalog 


Search 


项 的 一 个 列表 

最 多 可 提供 4 个 目录 项 的 6 个 特性 以 进行 比较 (例如 ， 价格、 尺寸 、 处 理 器 速 
度 等 ) 

CheckDelivery 如 果 在 某 天 预订 ， 返回 此 项 的 预计 的 交付 日 期 

MakeVirtualOrder 保存 将 由 客户 订购 的 项 的 数 日 ， 并 为 客户 自己 的 采购 系统 提供 各 项 的 信息 


图 18-10 目录 服务 操作 


一 旦 建立 了 关于 服务 做 什么 的 非 正式 描述 ， 下 一 个 阶段 就 会 增加 更 多 关于 服务 输入 和 输 
出 的 细节 。 在 图 18-11 中 ， 基 于 目录 服务 展示 了 这 点 ,扩展 了 图 18-10 中 的 功能 性 描述 。 

定义 异常 以 及 这 些 异 常 如 何 传 达 给 服务 使 用 者 是 特别 重要 的 。 服 务工 程 师 并 不 知道 他 
们 的 服务 将 如 何 被 使 用 。 假 设 服 务 使 用 者 能 够 完全 理解 服务 规格 说 明 ， 这 样 做 通常 是 不 明智 
的 。 输 入 消息 可 能 不 正确 ， 所 以 需要 定义 一 个 异常 ， 来 铝 服务 请 求 方 汇报 错误 输入 。 将 所 有 
的 异常 处 理 留 给 构件 的 使 用 者 ， 这 点 在 可 复 用 构件 开发 中 通常 是 好 的 做 法 。 服 务 开 发 人 员 不 


Compare 





应 该 将 他 们 的 观点 强加 在 异常 如 何 处 理 上 。 
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CheckDelivery 







cdIn 
公司 id 
目录 数目 
请 求 的 项 数 












图 18-11 


在 某 些 情况 下 ， 只 需要 关于 服务 操作 
以 及 服务 的 输入 和 输出 的 文本 描述 。 服 务 的 
详细 实现 留 作 具体 实现 时 再 决定 。 然 而 有 时 
需要 更 加 详细 的 设计 ， 可 以 通过 图 形 表 示 法 
(40 UML) 或 者 可 读 的 描述 格式 (如 JSON) 
来 确定 详细 的 接口 描述 。 图 18-12 展示 了 如 
何 使 用 UML 来 详细 描述 接口 ， 同 时 给 出 了 
操作 getDelivery 的 输入 和 输入 。 

注意 本 例 中 如 何 通过 注释 带 有 约束 的 
UML 图 来 添加 详细 描述 。 这 些 细节 定义 了 代 
表 公 司 和 目录 项 的 字符 串 的 长 度 ， 确 定 了 每 
个 项 的 数量 要 大 于 零 ， 以 及 交付 要 在 当前 日 
期 之 后 。 注 释 也 显示 了 每 个 可 能 的 故障 关联 
的 错误 代码 。 
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该 公司 目录 的 URL 
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TEN Fax URL lookOut lookFault 
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目录 接口 设计 
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cdFault Be a 
recede integer EF Ff, Invalid calaiog nn iii 
No availability 


errCode = 3 


Zero items requested 
errCode = 


图 18-12 输入 、 输 出 消息 的 UML 定义 


目录 服务 是 实际 服务 的 一 个 实例 ， 说 明 选 择 RESTful 还 是 基于 SOAP 的 方法 来 实现 
服务 并 不 总 是 简单 明了 的 。 作 为 一 个 基于 实体 的 服务 ， 目 录 能 够 表示 成 资源 ， 这 点 暗示 了 
RESTful 模型 是 正确 的 选择 。 然 而 ， 对 目录 的 操作 并 不 是 简单 的 GET 操作 ， 用 户 需 要 在 与 
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目录 服务 交互 的 一 次 会 话 中 维持 一 些 状态 。 这 点 显示 了 应 该 使 用 基于 SOAP 的 方法 。 这 种 困 
境 在 服务 工程 中 是 很 常见 的 ， 并 且 决 定 使 用 哪 种 方法 的 关键 因素 通常 是 本 地 环境 (如 专门 技 
术 的 可 用 性 ) 。 

为 了 实现 一 套 RESTful 服务 ， 必 须 决 定 将 要 用 于 表示 目录 的 一 套 资源 有 哪些 ， 以 及 基 
本 的 GET、POST 和 了 PUT 怎么 操作 这 些 资源 。 这 些 设计 决策 中 的 一 部 分 是 简单 明了 的 : 

1. 应 该 有 一 种 资源 表示 特定 公司 的 目录 。 这 种 资源 的 URL 的 格式 为 : <base catalog>/ 
<company name>， 并 且 应 该 使 用 POST 操作 来 创建 。 

2. 每 个 目录 项 应 该 有 自己 的 URL， 格 式 为 : <base catalog>/<company name>/<item identifier>。 

3. 使 用 GET 操作 来 寻 回 目录 项 。 通 过 将 目录 中 一 个 项 的 URL 用 作 GET 操作 的 参数 ， 
可 以 实现 查询 。 通 过 将 公司 目录 作为 GET 操作 的 URL， 以 及 搜索 字符 串 作 为 GET 操作 的 
查询 参数 ， 可 以 实现 搜索 。 这 个 GET 操作 返回 一 列 匹配 这 次 搜索 的 目录 项 的 URL. 

然而 ， 操 作 Compare, CheckDelivery 和 MakeVirtualOrder 更 加 复杂 。 

1. Compare 操作 可 以 按 如 下 方式 实现 : 一 系列 的 GET 操作 来 寻 回 各 个 目录 项 ， 紧 接 痢 
通过 一 个 POST 操作 来 创建 一 张 对 照 表 ， 最 终 一 个 GET 操作 返回 这 个 对 照 表 给 用 户 。 

2. CheckDelivery 操作 和 MakeVirtualOrder 操作 需要 额外 的 资源 来 表示 一 个 虚拟 的 订 
单 。 使 用 POST 操作 来 创建 资源 ， 并 且 对 应 所 需要 的 项 数量 。 使 用 公司 的 ID 来 自动 填写 订 
单 ， 并 且 计 算出 交付 日 期 。 接 下 来 就 可 以 使 用 GET 操作 来 寻 回 和 资源 了 。 

读者 需要 仔细 思考 如 何 将 异常 映射 到 标准 http 响应 代码 上 ， 如 代码 404， 这 意味 着 一 个 
URL 不 能 被 检索 。 本 书 没 有 足够 的 篇 幅 来 探讨 这 个 问题 ， 但 它 进 一 步 增 加 了 服务 接口 设计 
HERE. 

对 于 基于 SOAP 的 服务 来 说 ， 在 这 个 例子 中 ， 因 为 逻辑 接口 设计 可 以 被 自动 翻译 为 
WSDL， 所 以 实现 过 程 更 加 简单 。 大 部 分 支持 面 问 服务 开发 的 编程 环境 (如 ECLIPSE 环境 )， 
包含 了 能 够 将 逻辑 接口 摘 述 转变 为 对 应 的 WSDL 表示 的 工具 。 


© #2 系统 服务 


遗留 系统 是 由 一 个 组 织 使 用 的 考 的 软件 系统 。 重 写 或 替换 这 些 系统 从 成 本 效益 上 看 
并 不 合算 ， 许 多 组 织 想 将 这 些 系统 与 更 加 现代 化 的 系统 一 起 使 用 。 最 重要 的 服务 使 用 方式 
之 一 是 为 遗留 系统 实现 “包装 器 "， 以 便 提 供 对 系统 功能 和 数据 的 访问 。 这 样 这 些 系统 就 
可 以 在 Web 上 访问 并 与 其 他 应 用 集成 。 


http://software-engineering-book.com/web/legacy-services 












18.3.3 ”服务 实现 和 部 署 


一 旦 找到 了 可 选 服 务 并 且 设 计 了 它们 的 接口 ， 服 务工 程 过 程 的 最 后 阶段 就 是 服务 实现 。 
实现 可 能 涉及 使 用 某 个 标准 的 编程 语言 (例如 Java 或 C) 编写 服务 程序 。 这 两 种 语言 现在 
都 包括 对 基于 SOAP 和 RESTful 的 服务 的 开发 提供 广泛 支持 的 库 。 

男 外 一 种 做 法 是 ， 服 务 的 开发 可 以 通过 向 现 有 构件 或 遗留 系统 ( 稍 后 将 要 讨论 ) 添加 服 
务 接口 的 办 法 实现 。 这 意味 着 已 经 证 明了 是 有 用 的 软件 资产 能 被 更 加 广泛 地 利用 。 对 于 遗留 
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系统 的 情形 ， 它 可 能 意味 着 系统 功能 能 被 新 的 应 用 访问 。 也 可 以 通过 定义 现 有 服务 的 组 合 来 
开发 新 的 服务 。18.4 市 讨论 这 种 开发 服务 的 方法 。 

服务 一 经 实现 ， 在 部 署 它 之 前 必须 通过 测试 。 这 包括 检查 和 划分 服务 输入 (如 第 18 章 
所 讨论 的 )， 创 建 反 映 这 些 输入 组 合 的 输入 消息 ， 然 后 检查 输出 是 否 符合 预期 。 在 测试 中 应 
该 总 是 去 尝试 产生 异常 来 检查 服务 是 否 能 够 应 付 无 效 输入 。 测 试 工具 都 允许 对 服务 进行 检查 
和 测试 ， 并 能 从 WSDL 描述 生成 测试 。 然 而 ， 这 些 只 能 测试 服务 接口 与 WSDL 的 一 致 性 ; 
它们 不 能 测试 服务 的 功能 性 行为 。 

服务 部 署 是 过 程 的 最 后 阶段 ， 包 括 在 Web 服务 咒 上 部 署 此 服务 。 绝 大 多 数 服务 需 软 件 
可 以 使 这 步 变 得 非常 简单 一 一 只 需 在 特定 目录 下 安装 包含 可 执行 的 服务 的 文件 ， 然 后 它 会 目 
动 变 得 可 用 。 

如 果 希 望 服务 在 大 型 机 构 内 是 可 用 的 或 者 是 公用 的 ， 必 须 为 服务 的 外 部 用 户 提 供 信息 。 
这 些 信 息 帮 助 潜 在 的 外 部 用 户 明 确 该 服务 能 否 满足 他 们 的 需求 以 及 是 否 值 得 信任 ， 而 对 于 服 
务 提供 商 ， 能 够 帮助 他 们 安全 可 靠 地 提供 服务 。 服 务 描述 中 可 能 包含 的 信息 如 下 。 

1. 有 关 企 业 的 信息 、 联 系 方式 等 。 这 对 用 户 信任 来 说 是 至 关 重 要 的 。 服 务 的 外 部 用 户 必 
须 确 信服 务 将 不 会 表现 出 恶意 的 行为 。 有 关 服 务 提 供 者 的 信息 能 让 用 户 在 商业 信息 机 构 中 去 
检查 他 们 的 资格 证 书 。 

2. 服务 提供 的 功能 的 非 正式 描述 。 这 帮助 潜在 用 户 决 定 服务 是 否 是 他 们 想 要 的 。 

3. 如 何 使 用 服务 的 描述 。 对 一 些 简 单 的 服务 来 说 ， 这 将 是 对 服务 的 输入 、 输 出 的 非 正式 
文字 描述 。 对 于 更 加 复杂 的 基于 SOAP 的 服务 来 说 ， 需 要 WSDL 描述 。 

4. 订阅 信息 ， 人 允许 用 户 注册 以 获取 有 关 服 务 更 新 的 信息 。 

如 前 面 所 述 ， 服 务 规 格 说 明 的 一 个 一 般 问 题 是 ， 服 务 的 功能 行为 是 通过 目 然 语 言 描 述 非 
正式 给 出 的 。 自 然 语言 描述 便于 阅读 ,但 是 容易 引起 误解 。 为 了 解决 这 个 问题 ， 在 使 用 本 体 
论 和 本 体 语言 定义 服务 语义 方面 开展 了 广泛 的 研究 工作 (W3C 2012 )。 然 而 ， 基 于 本 体 论 的 
规格 说 明 复 杂 并 且 难 以 理解 。 因 此 ， 基 于 本 体 论 的 描述 没有 被 广泛 使 用 。 


18.4 服务 组 合 


面向 服务 的 软件 开发 大 概 是 基于 这 样 的 思想 : 组 合并 配置 服务 来 创建 新 的 复合 服务 。 这 
些 复 合 服务 可 以 与 一 个 在 浏览 器 上 实现 的 用 户 接口 集成 来 创建 一 个 Web 应 用 ， 或 者 可 以 被 
当 作 构件 用 于 某 个 其 他 服务 组 合 。 组 合 中 所 包含 的 服务 可 能 是 专门 为 一 特殊 应 用 开发 的 ， 可 
能 是 公司 内 部 开发 的 业务 服务 ， 或 者 可 能 是 来 自 某 个 外 部 供应 商 的 服务 。RESTful 和 基于 
SOAP 的 服务 都 能 够 被 组 合 ， 从 而 开发 出 具有 扩展 功能 的 服务 。 

许多 公司 目前 正 把 他 们 的 企业 应 用 转换 为 面向 服务 的 系统 ， 其 中 构建 块 的 基本 应 用 程序 
是 一 个 服务 而 不 是 一 个 构件 。 这 开启 了 在 公司 内 部 更 加 广泛 复 用 的 可 能 性 。 下 一 个 阶段 将 会 
是 开发 机 构 间 的 相互 信任 的 供应 商 之 间 的 应 用 ， 它 们 彼此 使 用 对 方 的 服务 。 面 向 服务 体系 结 
构 的 远景 目标 的 最 终 实 现 将 依赖 于 “服务 市 场 ” 的 开发 ， 其 中 的 服务 均 来 自 可 信赖 的 外 部 供 
应 商 。 

服务 组 合 是 一 个 集成 过 程 ， 可 以 用 来 集成 分 离 的 业务 过 程 ， 从 而 能 提供 更 加 广泛 的 功 
能 。 比 如 ， 一 家 航空 公司 希望 为 旅客 提供 一 个 完整 的 假期 计划 。 除 了 预订 他 们 的 班机 外 ， 旅 
客 也 能 预订 在 他 们 所 希望 的 地 点 的 旅馆 ， 安 排 租 车 或 预订 出 租车 到 机 场 接 机 ， 浏 览 旅行 指南 
以 及 预约 当地 名 胜 的 游览 。 为 了 创建 此 应 用 ， 航 空 公司 将 它 的 订 票 服务 、 旅 馆 预 订 代 理 所 提 
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供 的 服务 、 汽 车 租赁 和 出 租车 公司 的 服务 ， 以 及 当地 景点 提供 者 所 提供 的 预约 服务 组 合 在 一 
起 。 最 终结 采 是 一 个 服务 ， 它 集成 了 这 些 来 自 于 不 同 提供 者 的 服务 。 

你 可 以 将 此 过 程 看 作 是 一 些 分 离 步 又 的 序列 ， 如 图 18-13 所 示 。 信 息 从 一 步 传递 到 下 一 
步 ， 例 如 ， 汽 车 租赁 公司 被 告知 班机 预定 到 达 的 时 间 。 步 又 序列 被 称 为 一 个 工作 流 组 
在 时 间 上 有 序 的 活动 ， 每 个 活动 执行 工作 的 某 个 部 分 。 工 作 流 是 业务 过 程 的 一 个 模型 ， 即 列 
出 在 达到 一 个 重要 业务 目标 过 程 中 所 涉及 的 所 有 步骤 。 在 本 例 中 ， 业 务 过 程 是 航空 公司 提供 
的 假期 预订 服务 。 








SF Le 
日 期 /时 间 旅馆 位 置 


图 18-13 ”一揽子 假期 工作 流 


工作 流 是 一 个 简单 的 思想 ， 上 述 的 假期 预订 的 假定 情节 看 起 来 是 很 简单 的 。 事 实 上 ， 服 
务 组 合 要 比 这 个 简单 模型 所 暗含 的 要 复杂 得 多 。 举 例 来 说 ， 你 必须 考虑 服务 失效 的 可 能 性 ， 
并 加 入 一 些 机 制 来 处 理 这 些 失 效 。 你 也 需要 考虑 应 用 用 户 会 提出 的 非 预期 的 要 求 。 举 例 来 
说 ,假定 一 位 旅客 是 残疾 人 ， 需 要 租用 一 个 轮椅 到 飞机 场 。 这 将 需要 实现 并 组 合 额外 的 服 
务 ， 还 需要 问 工 作 流 中 添加 额外 的 步骤 。 

我 们 必须 能 够 应 付 这 样 的 局 面 : 工作 流 不 得 不 改变 ， 因 为 某 一 个 服务 的 正常 执行 总 是 导 
致 与 其 他 服务 执行 的 不 兼容 。 举 例 来 说 ,假定 所 预订 的 一 架 班 机 将 在 6 月 1 日 离开 6 月 7 日 
返回 。 于 是 工作 流 进入 旅馆 预订 阶段 。 然 而 ， 旅 游 景 点 直到 6 月 2 日 一 直 都 在 召开 一 个 重要 
会 议 ， 因 此 旅馆 没有 可 用 的 房间 。 旅 馆 预 订 服 务 报告 此 不 可 用 。 这 不 是 一 个 失效 ,缺乏 可 用 
性 是 一 种 常见 的 情形 。 

于 是 我 们 不 得 不 “撤销 ”班机 预订 并 将 有 关 缺 乏 可 用 性 的 信息 返回 给 用 户 。 然 后 他 就 
会 决定 是 否 改变 他 们 的 日 程 或 他 们 的 度假 地 。 在 工作 流 术语 中 ,， 这 叫 作 “补偿 动作 ”。 补 
偿 动 作用 来 撤销 一 些 动 作 ， 这 些 动 作 是 已 经 完成 的 但 是 因为 后 续 工 作 流 活动 的 结果 必须 
改变 。 

通过 复 用 现 有 服务 来 设计 新 服务 的 过 程 ， 本 质 上 是 包含 复 用 的 软件 设计 过 程 ( 见 图 18-14 )。 
包含 复 用 的 设计 不 可 避免 要 在 需求 上 做 出 妥协 。 系 统 “理想 化 ”的 需求 不 得 不 进行 修改 以 迎 
合 实际 上 可 用 的 服务 ， 利 用 这 些 可 用 服务 ， 成 本 就 能 在 预算 之 内 ， 且 服务 的 品质 是 可 以 接 


受 的 。 





测试 服务 | 


| 可 部 署 的 服务 


图 18-14 通过 组 合 的 服务 构造 
图 18-14 中 ， 在 通过 组 合 构 建 服务 的 过 程 中 给 出 了 6 个 关键 阶段 。 
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1. 表达 概要 工作 流 。 服 务 设 计 的 起 始 阶 段 ， 将 组 合 服务 的 需求 作为 创建 “理想 ”服务 设 
计 的 基础 。 应 该 在 此 阶段 创建 一 个 相当 抽象 的 设计 ， 以 便 在 我 们 对 可 用 服务 了 解 更 多 的 时 候 
HE WS AS NANT o 

2. 发 现 服务 。 在 此 阶段 ， 搜 索 现 有 服务 以 纳入 组 合 中 。 大 部 分 的 服务 复 用 是 发 生 在 企业 
内 部 的 ， 所 以 发 现 服 务 应 该 包括 搜索 本 地 服务 目录 。 或 者 ， 应 该 从 一 些 可 信赖 的 服务 提供 商 
(如 Oracle 和 Microsoft) 提供 的 服务 中 搜索 。 

3. 选择 可 能 的 服务 。 从 已 经 发 现 的 可 能 的 服务 候选 集合 中 ， 选 择 能 实现 工作 流 活 动 的 可 
能 服务 。 选 择 标准 肯定 要 包括 所 提供 的 服务 的 功能 ， 也 可 能 包含 所 提供 服务 的 成 本 和 服务 品 
质 (响应 、 可 用 性 等 )。 

4. 精练 工作 流 。 基 于 已 经 选择 服务 的 信息 ， 精 练 工 作 流 。 这 包括 把 细节 加 入 到 抽象 描述 
中 ， 可 能 的 话 ， 还 可 以 增加 或 删除 工作 流 活 动 。 然 后 可 能 要 重复 服务 发 现 和 选择 阶段 。 一 且 
选择 了 一 组 稳定 的 服务 ， 并 建立 起 了 最 终 的 工作 流 ， 就 转移 到 过 程 的 下 一 个 阶段 。 

5. 创建 工作 流程 序 。 在 此 阶段 ， 将 抽象 工作 流 设 计 转 换 为 一 个 可 执行 程序 ， 并 定义 服务 
的 接口 。 服 务实 现 可 以 使 用 常用 的 编程 语言 ， 例 如 Java 或 C#， 也 可 以 使 用 工作 流 语言 ， 如 
BPMN (后 文 将 介绍 )。 这 一 阶段 也 可 能 包含 基于 Web 的 用 户 界面 的 创建 ， 从 而 允许 从 Web 
浏览 融 访 问 新 的 服务 。 

6. 测试 已 完成 的 服务 或 应 用 。 在 使 用 外 部 服务 的 情形 之 下 ， 对 完工 的 组 合 服务 的 测试 过 
程 比 构件 测试 更 为 复杂 。18.4.2 节 将 讨论 测试 问题 。 

这 个 过 程 假设 现 有 的 服务 可 用 于 服务 组 合 。 如 果 你 依赖 的 外 部 信息 无 法 从 相应 的 服务 接 

口 获取 ， 你 就 需要 自己 实现 这 些 服务 。 这 通常 包含 一 个 “屏幕 抓 取 ”的 过 程 ， 程 序 需要 
从 浏览 器 上 显示 的 网 页 的 HTML 文本 中 抽取 信息 。 


18.4.1 工作 流 设计 与 实现 


工作 流 设 计 包 括 分 析 现 有 的 或 计划 中 的 业务 过 程 ， 从 而 理解 所 发 生 的 不 同 活动 以 及 这 些 
活动 是 怎么 交换 信息 的 ， 接 着 用 工作 流 设计 符号 定义 新 的 业务 流程 。 工 作 流 设计 列 出 了 执行 
过 程 中 的 各 个 阶段 和 不 同 过 程 阶段 之 间 所 传递 的 信息 。 然 而 ,已 有 的 过 程 可 能 是 非 正式 的 且 
依赖 于 过 程 中 人 的 技术 和 能 力 ， 而 并 没有 一 个 “规范 ”的 工作 方式 或 过 程 定义 。 在 这 种 情况 
F, 我们 就 不 得 不 使 用 当前 过 程 的 知识 来 设计 工作 流 ， 使 之 达到 的 同样 的 目标 。 

工作 流 表 示 的 是 业务 过 程 模型 ， 且 通常 使 用 图 形 形 式 来 描述 ， 例 如 ，UML 活动 图 ,或 
业务 过 程 建 模 符 号 (Business Process Modeling Notation, BPMN) 系统 (White and Miers 
2008; OMG 2011 )。 本 章 中 的 例子 使 用 BPMN 描述 。WS-BPEL 是 一 种 基于 XML 的 工作 流 
语言 ， 如 果 使 用 基于 SOAP 的 服务 ， 可 以 将 BPMN 工作 流 自动 转换 成 WS-BPEL。 这 和 其 他 
Web 服务 标准 (如 SOAP, WSDL) 相 一 致 。RESTful 服务 可 以 通过 类 似 Java 的 标准 编程 语 
言 组合 到 程序 中 ; 或 者 ， 也 可 以 使 用 用 于 服务 混搭 的 组 合 语言 (Rosenberg et al.2008 ) 。 

图 18-15 是 BPMN 模型 的 一 个 简单 例子 ， 这 是 前 面 的 假期 计划 脚本 的 部 分 内 容 。 模 型 给 
出 了 旅馆 预订 的 简化 工作 流 ， 假 定 存在 一 个 Hotels 服务 ， 其 关联 操作 称 为 GetRequirements、 
CheckAvailability 、ReserveRooms 、NoAvailability 、ConfirmReservation 和 CancelReservation 。 
此 过 程 包括 : 得 到 来 自 客户 的 需求 ， 然 后 检查 是 否 有 空余 房间 可 用 ， 如 果 房 间 是 可 用 的 ， 按 
照 所 要 求 的 日 期 预订 房间 。 

此 模型 引入 了 BPMN 的 一 些 用 来 创建 工作 流 模型 的 核心 概念 : 
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1. AAAI ei. “ABER A KT A ERAT o 
epee 简单 圆圈 用 来 表示 一 
开始 事件 ， 较 深 的 圆圈 表示 一 个 结束 事件 。 双 层 圆 圈 (没有 给 出 ) 用 来 表示 一 个 中 间 事 件 。 

SAT CLR MAGEE RIO ASC 

3. 萎 形 表示 一 个 通道 。 通 道 是 过 程 中 的 一 个 阶段 ， 在 此 做 出 某 个 选择 。 举 例 来 说 ， 在 
图 18-15 中 ， 有 一 个 选择 是 根据 房间 是 否 可 用 而 做 出 的 

4. 实 线 箭头 用 来 表示 活动 序列 ; 虚线 箭头 表示 活动 之 间 的 消息 流 ， 在 图 18-15 中 ,这些 
消息 在 旅馆 预订 服务 与 客户 之 间 传 递 。 

这 些 主 要 特征 足够 描述 大 多 数 工 作 流 的 本 质 。 然 而 ，BPMN 还 包含 许多 另外 的 特征 ， 这 
里 不 再 过 多 描述 。 这 些 特 征 将 信息 添加 到 业务 过 程 描述 中 ,使 之 能 够 自动 被 翻译 为 一 种 可 执 
行 的 服务 。 
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图 18-15 旅馆 预订 工作 流 片段 


图 18-15 显示 的 是 在 某 组 织 中 使 用 的 过 程 ， 这 是 一 个 提供 预订 服务 的 公司 。 然 而 ， 面 癌 
服务 方法 的 主要 好 处 在 于 它 文 持 组 织 间 计算 。 这 意味 着 整个 计算 涉及 不 同 公司 的 服务 。 这 可 
以 用 BPMN 表示 出 来 ， 通 过 为 每 个 参与 交互 的 组 织 开 发 单独 的 工作 流 完成 的 。 

为 了 阐明 这 一 点 ， 采 用 另外 一 个 例子 ， 该 例子 与 高 性 能 计算 有 关 。 面 回 服 务 的 方法 的 提 
出 允许 共享 诸如 高 性 能 计算 机 这 样 的 资源 。 在 本 例 中 ， 假 定 一 个 矢量 处 理 计 算 机 (一 个 能 在 
值 数 组 上 执行 并 行 计 算 的 机 需 )， 其 作为 一 个 服务 (VectorProcService) 由 一 研究 实验 室 提 供 。 
该 计算 机 通过 另外 一 个 被 称 为 SetupComputation 的 服务 进行 访问 。 这 些 服务 以 及 它们 的 交 
互 如 图 18-16 所 示 。 

在 此 例 中 ，SetupComputation 服务 的 工作 流 请 求 访 问 一 台 矢 量 处 理 器 ， 如 果 有 处 理 顺 是 
可 用 的 ， 就 建立 所 需要 的 计算 并 下 载 数 据 到 正在 处 理 的 服务 。 一 旦 计算 完成 ， 结 果 便 被 存储 
在 本 地 计算 机 上 。VectorProcService 的 工作 流 包 括 以 下 步骤 : 

1. 检查 处 理 需 是 否 可 用 ; 

2. 为 计算 分 配 资源 ; 

3. 启动 系统 ; 

4. 进行 计算 ; 

5. 返回 结果 给 客户 服务 。 
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图 18-16 交互 的 工作 流 


在 BPMN 术语 中 ， 每 个 组 织 的 工作 流 被 表示 在 一 个 独立 的 池 中 。 用 图 表示 为 : 将 过 程 
中 的 每 个 参与 者 的 工作 流 包 在 一 个 矩形 中 ， 并 在 左 侧 边 缘 上 垂直 写 下 名 称 。 在 各 个 池 中 定义 
的 工作 流通 过 交换 消息 完成 它们 之 间 的 协调 。 有 时 候 某 组 织 的 不 同 部 门 参与 了 一 个 工作 流 ， 
此 时 ， 池 坡 分 隔 为 一 个 个 “航道 ”"， 各 个 航道 表示 那个 部 门 中 的 活动 。 

一 旦 业务 过 程 模型 设计 出 来 ， 它 必须 根据 已 经 发 现 进行 精练 的 服务 。 如 在 对 图 18-14 的 
讨论 中 所 说 的 ， 模 型 可 能 需要 经 历 很 多 次 重复 ， 直 到 所 做 出 的 设计 允许 对 可 用 服务 进行 最 多 
次 数 的 复 用 。 

最 终 设计 一 旦 就 绪 ， 就 可 以 开发 最 终 的 面向 服务 的 系统 。 这 包含 了 实现 不 可 复 用 的 服 
务 ， 以 及 将 工作 流 模 型 转换 成 可 执行 的 程序 。 因 为 服务 是 和 实现 语言 无 关 的 ， 所 以 新 的 服务 
可 以 用 任何 语言 来 写 。 如 果 使 用 了 基于 SOAP 的 服务 ， 工 作 流 模型 能 够 被 自动 处 理 ， 从 而 创 
建 可 执行 的 WS-BPEL 模型 。 如 果 使 用 了 RESTful 服务 ， 通 过 将 模型 作为 程序 规格 说 明 ， 可 
以 手动 编写 工作 流 模型 。 


18.4.2 ”服务 组 合 测试 


测试 对 于 所 有 的 系统 开发 过 程 来 说 都 是 重要 的 ， 因 为 它 表 明 一 个 系统 满足 它 的 功能 性 和 
非 功 能 性 需求 ， 且 检测 在 开发 过 程 中 所 导入 的 缺陷 。 许 多 的 测试 技术 ,例如 程序 检查 和 禾 亲 
测试 ， 依 赖 于 对 软件 源 代码 的 分 析 。 然 而 ， 当 服务 由 一 外 部 提供 商 所 提供 时 ， 服 务实 现 的 源 
代码 是 不 可 得 的 。 因 此 不 能 使 用 基于 系统 源 代码 的 “日 盒 测 试 ”。 

在 对 服务 和 服务 组 合 进行 测试 时 ， 除 了 有 对 服务 实现 的 理解 的 问题 外 ,测试 者 也 可 能 会 
面 对 更 大 的 困难 。 

1. 外 部 服务 受 控 于 服务 提供 商 而 非 服务 的 用 户 。 服 务 提供 商 随时 可 能 撤销 这 些 服务 或 改 
变 它们 ， 而 这 些 都 将 使 先前 的 所 有 应 用 测试 不 可 用 。 这 些 问 题 在 软件 构件 中 是 通过 维护 构件 
的 不 同 版 本 得 到 解决 的 ， 然 而 现在 ， 还 没有 提出 任何 标准 去 处 理 服务 版 本 。 

2. 如 果 服 务 是 动态 绑 定 的 ， 那 么 一 个 应 用 在 每 次 执行 时 可 能 不 总 是 使 用 相同 的 服务 。 所 
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以 ， 当 一 个 应 用 被 绑 定 到 某 个 特殊 服务 的 时 候 ， 测 试 可 能 是 成 功 的 ， 但 是 不 能 保证 那个 服务 
将 在 系统 的 一 个 实际 执行 过 程 中 得 到 使 用 。 

3. 服务 的 非 功能 性 行为 不 只 依赖 于 它 是 如 何 被 正在 测试 的 应 用 使 用 的 。 一 个 服务 在 测试 
期 间 可 能 执行 得 很 好 ， 因 为 它 没有 在 一 个 很 重 的 负载 之 下 运行 。 实 际 中 ， 观 察 到 的 服务 行为 
可 能 与 测试 时 的 不 同 ， 因 为 别 的 用 户 所 提出 的 要 求 是 不 一 样 的 。 

4. 服务 的 支付 模型 可 以 使 服务 测试 变 得 非常 昂贵 。 有 不 同 种 可 能 的 支付 模型 一 一 某 些 
服务 可 以 是 免费 得 到 的 ， 有 些 服务 通过 注册 付款 ， 其 他 服务 是 每 次 使 用 时 付款 。 如 果 服 务 是 
免费 的 ， 那么 服务 提供 商 不 希望 服务 被 正在 进行 测试 的 应 用 加 载 ; 如 果 需 要 注册 ， 那 么 服务 
用 户 可 能 在 测试 服务 之 前 不 愿 同意 它 的 注册 条 球 ; 同样 ， 如 果 使 用 服务 是 基于 每 次 使 用 付款 
的 ， 服 务 的 用 户 可 能 会 发 现 测 试 成 本 令 人 望而却步 。 

5. 前 面 已 经 讨论 了 补偿 动作 的 概念 ， 当 茶 个 异常 发 生 而 先前 做 出 的 承诺 (例如 一 次 班 
机 预订 ) 不 得 不 撤销 的 时 候 ， 补 偿 动 作 被 调用 。 对 这 样 的 动作 进行 测试 存在 一 个 问题 ， 因 为 
它们 可 能 与 其 他 服务 失效 有 关 。 确 保 这 些 服务 在 测试 过 程 内 模拟 某 些 服务 的 失效 可 能 非常 
困难 。 

当 使 用 的 是 外 部 服务 时 ， 这 些 问 题 就 特别 敏感 。 当 服务 来 自 于 同一 公司 或 对 伙伴 公司 所 
提供 的 服务 信任 时 ， 这 些 问 题 就 不 那么 敏感 。 在 这 种 情况 下 ， 源 代码 是 可 以 得 到 的 ， 可 以 用 
它们 来 指导 测试 过 程 ， 对 服务 的 支付 也 不 是 什么 问题 。 解 决 这 些 测 试问 题 ， 提 出 在 测试 面向 
服务 应 用 时 的 准则 、 工 具 和 技术 仍然 是 一 个 重要 的 研究 课题 。 


ZA 


e 面向 服务 的 体系 结构 是 可 复 用 软件 工程 的 一 种 方法 ， 可 复 用 的 标准 化 的 服务 是 应 用 
系统 的 基本 组 成 部 分 。 

e 通过 使 用 一 系列 基于 XML 的 Web 服务 标准 ， 可 以 开发 出 符合 SOA 的 服务 。 这 些 
Web 服务 标准 涉及 服务 通信 、 接 口 定义 、 工 作 流 中 服务 的 制定 。 

o 可 以 使 用 RESTful 架构 ， 这 个 架构 基于 资源 和 这 些 资 源 之 上 的 标准 操作 。 一 个 
RESTful 方法 使 用 http 和 https 协 议 来 通信 ， 并 且 将 操作 映射 到 标准 http 的 POST、 
GET, PUTH DELETE 上 。 

e 服务 可 以 被 分 为 : 提供 某 一 通用 目的 功能 的 实用 服务 ， 实 现 部 分 业务 过 程 的 业务 服 
务 ， 协 调 其 他 服务 执行 的 协同 服务 。 

e 服务 工程 过 程 包括 : 为 实现 识别 可 选 服务 ， 定 义 服务 接口 ， 实 现 、 测 试 和 部 署 服务 。 

o 使 用 服务 的 软件 开发 是 基于 这 样 的 思想 : 程序 的 创建 是 通过 组 合并 配置 服务 来 创建 
复合 服务 。 

© 图 形 工作 流 语言 (例如 BPMN) 可 以 用 来 描述 一 个 业务 过 程 和 业务 过 程 中 使 用 到 的 服 
务 。 这 些 语言 可 以 描述 业务 过 程 中 涉及 的 组 织 间 的 交互 。 


阅读 推荐 

网 上 有 大 量 的 指导 材料 ， 涵 盖 了 Web 服务 的 所 有 方面 。 然 而 ，Thomas Er 所 著 的 下 面 
两 本 书 是 对 服务 以 及 服务 标准 最 好 的 综述 和 阅读 材料 。 与 绝 大 多 数 的 书 不 同 ，Erl 在 面向 
服务 计算 方面 给 出 了 一 些 有 关 软 件 工 程 问 题 的 讨论 。 他 近期 还 写 了 一 些 关 于 RESTful 服务 
的 书 。 
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C Service-Oriented Architecture: Concepts, Technology and Design 》 是 一 本 关于 面向 服 
务 系统 工程 的 更 全 面 的 书 , 涵盖 了 SOA Fl RESTful 体系 结构 。Erl 讨论 了 SOA 和 Web 服务 
标准 ， 但 他 主要 聚焦 在 面 癌 服务 方法 是 如 何在 软件 过 程 的 各 个 阶段 使 用 的 。(T. Erl, Prentice 
Hall, 2005 ) 

《 Service-oriented architecture 》 是 一 本 介绍 SOA 的 书 ， 该 书 很 棒 并 且 易 读 。( 多 个 作者 ， 
2008 ) http://msdn.microsoft.com/en-us/library/bb833022.aspx 

《 RESTful Web Services:The Basics 》 是 关于 RESTful 方法 和 RESTful 服务 的 一 本 很 好 
的 介绍 性 的 教程 。( A.Rodriguez, 2008 ) https://www.ibm.com/developerworks/webservices/ 
library/ws-restful/ | 

C Service Design Patterns: Fundamental Design Solutions for SOAP/WSDL, and RESTful 
Web Services 》 是 一 本 面向 希望 在 企业 中 开发 Web 服务 的 开发 者 的 进 阶 教程 ， 描 述 了 很 多 常 
见 的 问题 ， 并 且 概 括 了 网 上 对 这 些 问题 的 解决 方案 。(R. Daigneau, Addison-Wesley, 2012 ) 

《 Web Services Tutorial 》 是 一 本 关于 SOA, Web 服务 和 Web 服务 标准 的 扩展 教程 ， 由 
这 些 标 准 的 制定 者 所 编写 。 如 果 你 需要 对 这 些 标准 有 更 详细 的 理解 ， 这 本 书 将 非常 有 用 。 
(W3C schools, 1999-2014 ) http://www.w3schools.com/webservices/default.asp 


网 站 
AS =) PPT: http://software-engineering-book.com/slides/chap18/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/software-reuse/ 


练习 


18.1 服务 和 软件 构件 之 间 的 最 主要 区 别 是 什么 ? 

18.2 标准 是 SOA 的 基石 ， 人 们 普遍 认为 标准 的 一 致 性 对 SOA 被 成 功 采 用 非常 重要 。 然 
而 ， 使 用 越 来 越 广泛 的 RESTful 服务 并 不 是 基于 标准 的 。 请 说 明 这 个 变化 是 如 何 发 生 
的 。 缺 少 标准 是 否 会 阻碍 REST ful 服务 的 发 展 和 推广 ? 

18.3 使 用 WSDL 扩展 图 18-5， 使 其 包含 对 MaxMinType 和 InDataFault 的 定义 。 温 度 应 该 
表示 为 整数 ， 有 一 个 附加 字段 指示 是 否 为 华氏 温度 或 摄氏 温度 。InDataFault 应 该 是 一 
个 包含 一 个 错误 代码 的 简单 类 型 。 

18.4 为 图 18-7 所 示 的 Currency Converter (44 m Sid) 和 Check credit rating( 检 查 信用 等 级 ) 
两 个 服务 分 别 给 出 一 个 接口 规格 说 明 。 

18.5 请 说 明 CurrrencyConverter 服务 和 CheckCreditRating 服务 如 何 实现 为 RESTful 服务 。 

18.6 请 为 图 18-13 中 的 服务 设计 可 能 的 输入 、 输 出 信息 。 你 需要 使 用 UML 或 者 XML 来 
表示 这 些 信息 。 

18.7 请 举 出 两 种 不 适合 使 用 SOA 的 应 用 类 型 ， 并 给 出 理由 。 

18.8 解释 一 下 “补偿 动作 ”的 含义 ， 并 用 一 个 例子 说 明 为 什么 这 些 动作 必须 包含 在 工作 
流 中 。 

18.9 以 假期 行李 预约 服务 为 例 ， 设 计 一 个 工作 流 ， 能 够 为 刚 抵达 机 场 的 一 批 乘 客 预约 交通 
工具 。 他 们 应 该 能 够 选择 订 出 租车 或 者 租车 。 你 可 以 假设 出 租车 公司 和 汽车 租赁 公司 
提供 Web 服务 来 作 预 订 。 

18.10 请 给 出 一 个 例子 来 详细 解释 为 什么 全 面 测试 包含 补偿 动作 的 服务 很 困难 。 
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系统 工程 





目标 

本 章 的 目标 是 解释 软件 工程 师 为 什么 要 理解 系统 工程 ， 并 介绍 最 重要 的 系统 工程 过 程 。 
阅读 完 本 和 草 后 ， 你 将 : 

© 了 解 社 会 技术 系统 的 含义 并 理解 为 什么 人 、 社 会 和 组 织 因素 会 影响 软件 系统 的 需求 

和 设计 ; 

e 理解 概念 化 设计 的 思想 以 及 它 为 什么 会 成 为 系统 工程 过 程 中 第 一 个 重要 的 阶段 ; 

© 了 解 系统 采购 的 含义 并 理解 为 什么 不 同类 型 的 系统 会 采用 不 同 的 系统 采购 过 程 ; 

e 了 解 关键 的 系统 工程 开发 过 程 及 关系 。 

计算 机 只 有 当 其 既 包 含 软件 又 包含 硬件 时 才 会 有 用 。 没 有 硬件 ， 软 件 系 统 只 是 一 种 抽 
R, 一 种 关于 人 类 知识 和 思想 的 表示 。 没 有 软件 ,硬件 系 统 只 是 一 组 冷冰冰 的 电子 设备 。 然 
而 ， 如 果 你 把 软件 和 硬件 放 到 一 起 构成 一 个 计算 机 系统 ， 那么 你 就 创建 了 一 个 可 以 执行 复杂 
计算 并 癌 外 部 环境 提供 计算 结果 的 机 和 需 。 

这 展示 了 一 个 系统 的 根本 特性 : 系统 不 仅仅 是 它 的 组 成 部 分 的 上 总和。 系统 具有 的 一 些 特 
性 只 有 当 它 的 所 有 构件 被 集成 在 一 起 并 运行 时 才 会 表现 出 来 。 此 外 ， 系 统 被 开发 用 来 文 持 人 
类 活动 ， 例 如 工作 、 娱 乐 、 交 流 、 保 护 人 类 和 环境 等 。 系 统 与 人 进行 交互， 系统 的 设计 受 人 
和 组 织 关 注 点 的 影响 。 所 有 的 专业 软件 系统 在 开发 的 时 候 都 必须 将 硬件 、 人 、 社 会 和 组 织 因 

包含 软件 的 系统 可 以 分 为 以 下 两 类 。 

1. 基于 计 草 机 的 技术 系统 。 这 类 系统 包含 硬件 和 软件 构件 但 不 包含 相关 的 规程 和 过 程 。 
这 类 系统 的 例子 包括 电视 、 移 动 电话 以 及 其 他 包含 通 人 式 软 件 的 设备 。 个 人 电脑 应 用 、 电 脑 
游戏 和 移动 设备 也 是 技术 系统 。 个 人 和 组 织 出 于 特定 目的 使 用 技术 系统 ， 但 关于 该 目的 的 知 
识 并 不 是 技术 系统 的 一 部 分 。 例 如 ， 我 所 使 用 的 字 处 理 软件 《微软 的 Word) 并 不 知道 它 被 
用 于 写 这 本 书 。 

2. 社会 技术 系统 。 这 类 系统 包含 一 个 或 多 个 技术 系统 ， 但 更 重要 的 是 这 类 系统 自身 还 
包含 理解 系统 使 用 目的 的 人 在 其 中 。 社 会 技术 系统 有 定义 好 的 操作 和 运行 过 程 ， 而 人 【〈 操 
作者 ) 是 系统 的 固有 组 成 部 分 。 这 类 系统 受制 于 组 织 策略 和 规则 ， 还 可 能 会 受到 外 部 约束 
(例如 国家 法 律 、 法 规 和 政策 ) 的 有 影响。 例如， 本 书 是 经 过 一 个 社会 技术 性 的 出 版 系统 创造 
的 ， 该 系统 包括 多 个 过 程 (创作 、 编 辑 、 排 版 等 ) 和 技术 系统 (微软 Word 和 Excel, Adobe 
Illustrator, InDesign 等 )。 

系统 工程 (White et al. 1993; Stevens et al. 1998; Thayer 2002 ) 是 在 考虑 系统 中 的 硬件 、 
软件 和 人 的 元 素 的 特性 的 情况 下 设计 整个 系统 的 活动 。 系 统 工程 包括 与 采购 、 规 约 、 开 发 、 
部 午 、 运 行 和 维护 技术 和 社会 技术 系统 相关 的 一 切 。 系 统 工程 师 必须 考虑 硬件 和 软件 的 能 力 " 
以 及 系统 与 用 户 和 环境 的 交互 。 他 们 必须 考虑 系统 的 服务 、 系 统 构 造 和 运行 需要 满足 的 约 
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束 ， 以 及 系统 的 使 用 方式 。 

在 本 章 中 ， 主 要 关注 大 型 、 复 杂 的 软件 密集 型 系统 。 这 些 系 统 是 “企业 系统 "， 即 用 于 
实现 大 型 组 织 目 标的 系统 。 企 业 系统 用 于 政府 和 军事 ， 以 及 大 型 企业 和 其 他 公共 机 构 的 服 
务 。 这 些 系 统 是 受 组 织 的 运行 方式 以 及 国家 和 国际 规则 和 规定 的 影响 的 社会 技术 系统 。 这 类 
系统 可 以 由 一 些 独立 的 系统 组 成 ， 是 具有 大 规模 数据 库 的 分 布 式 系统 。 这 些 系统 有 很 长 的 生 
存 周 期 ， 并 对 组 织 的 正常 运行 具有 关键 的 作用 。 

出 于 以 下 两 个 原因 ， 软 件 工程 师 了 解 系统 工程 并 积极 参与 系统 工程 过 程 是 很 重要 的 。 

1. 软件 在 现在 所 有 的 企业 系统 中 都 是 决定 性 的 要 素 ， 而 组 织 中 很 多 高 层 决策 者 对 于 软件 
的 理解 有 限 。 软 件 工程 师 必须 在 高 层 的 系统 决策 中 扮演 更 加 积极 的 角色 ， 以 确保 系统 中 的 软 
件 是 可 依赖 的 并 且 能 够 按时 按 预 算 完成 开发 。 

2. 作为 软件 工程 师 ， 如 果 你 对 于 软件 如 何 与 其 他 硬件 和 软件 系统 交互 有 全 面 的 了 解 ， 并 
且 对 影响 软件 使 用 方式 的 人 、 社 会 和 组 织 因 素 具 有 更 广阔 的 了 解 ， 那 么 是 很 有 帮助 的 。 这 些 
知识 帮助 你 理解 软件 的 局 限 性 ， 从 而 设计 出 更 好 的 软件 系统 。 

在 大 型 复杂 系统 的 生命 期 中 存在 四 个 相互 重合 的 阶段 ( 见 图 19-1 ) 。 

1. 概念 设计 。 这 一 初始 的 系统 工程 活动 开发 所 需要 的 系统 类 型 的 概念 。 该 活动 以 非 技术 
性 的 语言 说 明 系 统 的 目的 、 为 什么 需要 该 系统 以 及 用 户 期 望 看 到 的 系统 高 层 特性 。 该 活动 还 
可 以 描述 大 致 的 系统 约束 ,例如 与 其 他 系统 的 互 操作 要 求 。 这 些 约束 限制 了 系统 工程 师 在 设 
计 和 开发 系统 时 的 自由 度 。 

2. 采购 或 获取 。 在 这 个 阶段 ， 概 念 设计 进一步 得 到 完善 以 提供 做 出 关于 系统 开发 合同 决 
策 所 需 的 信息 。 其 中 可 能 涉及 关于 系统 功能 在 硬件 、 软 件 和 运行 过 程 等 元 素 之 间 的 分 布 的 决 
策 。 你 还 会 决定 需要 获取 哪些 硬件 和 软件 、 应 当选 择 哪些 供应 商 开发 该 系统 ， 以 及 供应 合同 
的 条 款 和 条 件 。 

3. 开发 。 此 阶段 对 系统 进行 开发 。 开 发 过 程 包括 需求 定义 、 系 统 设计 、 硬 件 和 软件 工 
程 、 系 统 集成 、 测 试 。 此 阶段 还 会 定义 系统 的 运行 过 程 ， 并 设计 针对 系统 用 户 的 培训 课程 。 

4. 运行 。 此 阶段 对 系统 进行 部 署 ， 对 用 户 进行 培训 ， 并 将 系统 投入 运行 。 事 先 规划 的 运 
行 过 程 通常 必须 进行 调整 以 适应 系统 工作 所 处 的 真实 运行 环境 。 此 后 ， 系 统 随 着 新 需求 的 出 
现 而 发 生 演化 。 最 终 ， 系 统 的 价值 逐渐 下 降 ， 退 出 使 用 并 被 蔡 换 。 





系统 愿景 和 特性 








用 户 信息 
图 19-1 系统 工程 的 各 个 阶段 


ZII 系统 工程 369 


图 19-1 描述 了 这 些 阶 段 之 间 的 交互 。 概 念 设 计 活动 是 系统 采购 和 开发 的 基础 ， 但 是 也 
用 于 为 用 户 提供 系统 信息 。 开 发 和 采购 存在 重 春 ， 开 发 和 运行 过 程 中 当 有 了 新 的 设备 和 软件 
后 还 可 能 需要 进一步 的 采购 。 系 统 进 入 可 运行 状态 后 ， 需 求 变更 总 是 不 可 避免 的 ; 实现 这 些 
变更 需要 进一步 的 开发 ， 还 可 能 需要 进一步 的 软件 和 硬件 采购 。 

在 任 一 阶段 所 做 的 决策 都 可 能 对 其 他 阶段 造成 深远 的 影响 。 采 购 决 策 可 能 会 限制 系统 的 
设计 选项 ， 包 括 系统 的 范围 及 其 软件 和 硬件 组 成 部 分 。 在 规格 说 明 、 设 计 和 开发 阶段 人 所 犯 
的 错误 可 能 意味 着 缺陷 (故障 ) 被 引入 到 了 系统 中 。 因 为 预算 原因 限制 测试 的 决定 可 能 意味 
着 缺陷 在 系统 投入 使 用 之 前 未 被 发 现 。 在 运行 过 程 中 ， 系 统 部 署 配 置 中 所 犯 的 错误 可 能 导致 
系统 使 用 过 程 中 的 错误 。 当 系统 变更 要 求 被 提出 时 ， 在 最 初 的 采购 过 程 中 所 做 的 决策 可 能 被 
忘掉 。 这 可 能 导致 这 些 变更 的 实现 产生 不 可 预见 的 后 果 。 

系统 工程 和 软件 工程 的 一 个 重要 的 区 别 是 贯穿 整个 系统 生存 期 的 一 系列 专业 人 员 的 参 
与 。 其 中 包括 参与 硬件 和 软件 设计 的 工程 师 、 系 统 最 终 用 户 、 关 注 组 织 问题 的 管理 人 员 ， 以 
及 系统 应 用 领域 中 的 专家 。 例如， 第 1 章 所 介绍 的 胰岛 素 泵 系统 的 系统 工程 中 需要 电子 、 机 
械 工 程 、 软 件 和 医药 方面 的 专家 参与 。 | 

一 些 大 规模 系统 还 可 能 涉及 更 大 范 
围 内 的 专业 知识 。 图 19-2 描述 了 一 个 用 ye 

空中 交通 管理 的 新 系统 的 采购 和 开发 中 
可 能 涉及 的 技术 领域 。 其 中 包括 建筑 师 和 
土木 工程 师 ， 因 为 新 的 空中 交通 管理 系统 | FATE arr Li 
通常 都 要 安装 在 一 座 新 的 建筑 中 。 此 外 还 
包括 电气 和 机 械 工 程 师 ， 需 要 他 们 来 设计 
并 维护 电力 和 空调 系统 。 电 子 工程 师 关心 “| TOA 用 户 界面 设 计 | 
计算 机 、 雷 达 和 其 他 设备 。 人 类 工程 学 专 。 图 19.2 空中 交通 管理 系统 工程 所 涉及 的 专业 领域 
家 设计 控制 器 工 位 ， 软 件 工程 师 和 用 户 界 
面 设计 师 负责 系统 中 的 软件 。 

在 系统 工程 中 综合 运用 多 种 专业 知识 是 很 重要 的 ， 因 为 复杂 系统 中 包含 各 种 不 同类 型 的 
构件 。 然 而 ， 不 同 专业 领域 之 间 的 差异 和 误解 可 能 导致 不 正确 的 设计 决策 。 这 些 不 正确 的 次 
策 可 能 会 导致 系统 的 开发 延迟 或 者 使 系统 的 满意 度 下 降 。 具 备 不 同 背 景 的 工程 师 之 间 存 在 误 
解 或 其 他 差异 主要 是 因为 以 下 3 个 原因 。 

1. 不 同 的 专业 领域 经 常 使 用 相同 的 词汇 ， 但 是 这 些 词 汇 却 不 总 是 具有 相同 的 含义 。 因 
此 ， 具 有 不 同 背景 的 工程 师 之 间 讨 论 时 经 常会 出 现 误解 。 如 果 这 些 误解 在 系统 开发 过 程 中 没 
有 发 现 和 解决 ， 那 么 可 能 导致 交付 后 的 系统 中 存在 错误 。 例 如 ， 一 个 电子 工程 师 可 能 了 解 一 
点 C 程序 设计 但 可 能 并 不 理解 Java 中 的 方法 类 似 于 C 中 的 函数 。 

2. 每 个 专业 领域 都 会 对 其 他 领域 能 或 不 能 做 什么 做 出 假设 。 这 些 假设 经 常 基 于 一 些 不 正 
确 的 理解 。 例 如 ， 一 个 电子 工程 师 决 定 所 有 的 信号 处 理 (一 个 计算 密集 型 任务 ) 应 当 由 软件 
来 完成 以 简化 硬件 设计 。 然 而 ， 这 一 决定 意味 着 需要 极其 巨大 的 软件 开发 工作 量 来 保证 系统 
处 理 器 可 以 处 理 所 需 的 计算 量 。 

3. 每 个 领域 都 会 尽力 保护 自身 的 专业 边界 ， 而 且 会 尽力 争取 系统 做 出 某 些 特定 的 设计 决 
策 ， 从 而 使 他 们 的 专业 经 验 和 知识 有 用 武之 地 。 例 如 ， 软 件 工 程 师 可 能 会 争取 在 一 栋 建筑 中 
采用 基于 软件 的 门 锁 系统 ， 而 机 械 工程 则 会 主张 采用 基于 钥匙 的 系统 会 更 可 靠 。 
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， 通 常 ， 跨 专业 领域 的 工作 只 有 在 有 足够 的 时 间 探 讨 和 解决 这 些 问题 的 情况 下 才 会 成 功 。 
这 需要 常规 的 面对面 的 讨论 以 及 来 自 系 统 工程 过 程 中 所 涉及 的 每 一 个 人 的 灵活 方法 。 


19.1 社会 技术 系统 


系统 一 词 被 广泛 使 用 。 例 如 ， 我 们 会 说 计算 机 系统 、 操 作 系 统 、 支 付 系统 、 教 育 系统 、 
政府 系统 等 。 这 些 明 显 都 是 关于 “系统 ”的 各 不 相同 的 使 用 方式 ， 虽 然 其 中 关于 系统 的 本 质 
特性 都 是 一 样 的 ， 即 系统 并 不 只 是 系统 各 个 组 成 部 分 的 简单 加 和 。 

抽象 系统 ， 例 如 政府 系统 ， 不 在 本 书 的 讨论 范围 之 中 。 这 里 关注 的 是 包含 计算 机 和 软件 
并 且 具 有 特定 的 目的 (例如 ， 实 现 通信 、 文 持 导航 ,或 者 维护 医疗 记录 ) 的 系统 。 这 类 系统 
的 一 个 有 用 的 定义 如 下 : 

一 个 系统 是 一 个 相互 联系 的 不 同类 型 的 构件 的 一 种 有 目的 的 组 合 ， 这 些 构件 一 起 工作 来 
为 系统 的 拥有 者 及 其 用 户 提供 一 组 服务 。 

这 一 一 般 化 的 定义 的 适用 范围 非常 广泛 ， 罗 盖 了 很 多 不 同类 型 的 系统 。 例 如 ， 诉 光 笔 这 
样 的 简单 的 系统 提供 了 指示 服务 。 该 系统 可 能 包含 一 些 硬 件 构件 以 及 存放 在 只 读 存 储 中 的 小 
控制 程序 。 与 之 相 比 ， 一 个 空中 交通 控制 ATC) 系统 则 包括 成 千 上 万 的 硬件 和 软件 构件 以 
及 基于 计算 机 系统 所 提供 的 信息 进行 决策 的 人 类 用 户 。 该 系统 提供 一 系列 服务 ， 包 括 为 飞行 
员 提 供 信息 、 保 持 飞 机 之 间 的 安全 隔离 、 利 用 空域 等 。 

在 所 有 的 复杂 系统 中 ， 各 种 不 同系 统 构件 的 属性 和 行为 都 不 可 避免 地 混合 在 一 起 。 每 
个 系统 构件 的 成 功 运转 都 有 赖 于 其 他 构件 的 运转 。 软 件 只 有 在 处 理 器 处 于 工作 状态 时 才能 
运行 。 处 理 器 只 有 在 定义 计算 任务 的 软件 系统 已 经 成 功 安装 的 情况 下 才能 执行 相应 的 计算 
任务 。 

大 规模 系统 经 常 是 “系统 之 系统 ”。 也 就 是 说 这 些 系统 是 由 一 些 独 立 的 系统 组 成 的 。 例 
如 ， 一 个 警察 指挥 和 控制 系统 可 能 包括 一 个 地 理 信息 系统 以 提供 各 种 事件 位 置 的 详细 信息 。 
同样 的 地 理 信息 系统 可 以 用 于 其 他 系统 之 中 ， 例 如 物流 运输 系统 、 应 急 指 挥 控制 系统 。 系 统 
之 系统 的 工程 化 在 软件 工程 领域 是 一 个 越 来 越 重 要 的 话题 ， 将 在 第 20 章 中 详细 介绍 。 

正如 在 第 10 章 的 分 析 ， 大 规模 系统 除了 少数 情况 之 外 都 是 社会 技术 系统 。 也 就 是 说 ， 
这 类 系统 不 仅 包括 软件 和 硬件 ， 而 且 包 括 人 、 过 程 和 组 织 策略 。 社 会 技术 系统 是 被 用 于 帮助 
实现 某 种 业务 目的 的 企业 系统 。 这 种 业务 目的 可 以 是 增加 销售 、 减 少 生 产 过 程 中 的 原材料 使 
用 、 征 税 、 保 持 空域 安全 等 。 由 于 这 些 系统 处 于 组 织 环境 之 中 ， 它 们 的 采购 、 开 发 和 使 用 不 
可 避免 地 会 受到 组 织 的 策略 、 规 程 及 其 工作 文 
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化 的 影响 。 这 些 系统 的 用 户 是 受 组 织 的 管理 方 aa 
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交互 方式 影响 的 那些 人 。 人 

社会 技术 系统 以 及 使 用 这 些 系统 的 组 织 之 f o 
间 的 密切 关系 意味 着 定义 系统 边界 经 常 很 困难 。 
组 织 中 不 同 的 人 对 系统 的 边界 可 能 会 有 不 同 的 
视角 和 看 法 。 这 一 问题 的 影响 很 大 ， 因 为 在 定 “ss AN 
义 系 统 需求 时 确定 系统 的 边界 之 内 包含 以 及 不 AA 


. . 
. + 
4 Reo 
* Ts 


各 洁 料 交 是 很 恒 要 和 的 于 
19-3 反映 了 这 个 问题 。 图 中 将 一 个 社会 图 19-3 社会 技术 系统 的 分 层 结构 
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技术 系统 描述 为 多 个 层次 ， 其 中 每 一 层 都 以 某 种 方式 为 系统 的 运转 做 出 贡献 。 处 于 核心 地 位 
的 是 一 个 软件 密集 型 技术 系统 及 其 运行 过 程 (图 19-3 中 阴影 部 分 )。 大 部 分 人 都 会 认同 这 两 
层 都 属于 系统 的 组 成 部 分 。 然 而 ， 系 统 的 行为 还 会 受到 核心 部 分 之 外 的 很 多 社会 技术 因素 的 
影响 。 系 统 的 边界 是 应 该 简单 地 画 在 核心 部 分 周围 ， 还 是 应 该 包括 其 他 组 织 层次 呢 ? 

这 些 更 大 范围 内 的 社会 技术 因素 是 否 应 该 作为 系统 的 组 成 部 分 取决 于 组 织 及 其 策略 和 
规则 。 如 果 组 织 规则 和 策略 可 以 改变 ， 那 么 有 些 人 会 认为 它们 应 该 属于 系统 的 组 成 部 分 。 然 
而 ， 改 变 组 织 的 文化 则 困难 得 多 ， 而 改变 组 织 的 战略 和 目标 则 更 具 挑战 性 。 只 有 政府 可 以 修 
改 法 律 以 容纳 一 个 系统 。 而 且 ， 不 同 的 利益 相关 者 对 于 系统 边界 应 该 画 在 哪里 可 能 有 不 同 
的 意见 。 对 于 这 些 问题 没有 简单 的 答案 ， 但 是 这 些 问题 必须 在 系统 设计 过 程 中 进行 讨论 和 
协商 。 

一 般 而 言 ， 大 型 的 社会 技术 系统 在 组 织 中 使 用 。 当 你 在 设计 和 开发 社会 技术 系统 时 ， 你 
需要 尽 可 能 多 地 理解 系统 工作 时 所 处 的 组 织 环境 。 否 则 ， 所 开发 的 系统 可 能 会 无 法 满足 业务 
目的 ， 用 户 及 其 管理 人 员 可 能 会 抗拒 使 用 该 系统 或 
者 无 法 充分 利用 该 系统 的 能 力 。 

图 19-4 描述 了 组 织 中 可 能 影响 一 个 社会 技术 系 
统 的 需求 、 设 计 和 运行 的 关键 元 素 。 一 个 新 系统 可 
能 会 改变 这 些 元 素 中 的 一 些 或 全 部 。 

1. 过 程 变化 。 一 个 新 系统 可 能 意味 着 人 们 必须 
改变 自己 的 工作 方式 。 这 样 的 话 还 需要 对 他 们 进行 
培训 。 如 果 变 化 十 分 剧烈 或 者 会 导致 一 些 人 丢掉 工 m 19-4 we 
作 ， 那 么 可 能 存在 用 户 抵制 该 系统 的 引入 的 风险 。 

2. 岗位 变化 。 新 系统 可 能 使 处 于 相关 环境 中 的 用 户 技能 失去 用 武之 地 或 者 导致 他 们 改变 
自己 的 工作 方式 。 如 果 这 样 的 话 ， 用 户 可 能 会 积极 抵制 将 该 系统 引入 到 组 织 中 。 专 业 人 员 ， 
例如 医生 或 教师 ， 可 能 会 抵制 要 求 他 们 改变 平常 工作 方式 的 系统 设计 。 所 涉及 的 人 可 能 会 觉 
得 自己 的 专业 技能 正在 受到 侵蚀 ， 他 们 在 组 织 中 的 地 位 正在 下 降 。 

3. 组 织 策 略 。 所 规划 的 系统 与 组 织 策略 (例如 在 隐私 保护 方面 ) 可 能 并 不 完全 一 致 。 这 
要 求 系统 、 策 略 或 者 过 程 发 生变 化 以 使 系统 和 组 织 策略 保持 一 致 。 

4. 组 织 政 治 。 所 规划 的 系统 可 能 会 改变 组 织 中 的 政治 权力 结构 。 例 如 ， 如 果 一 个 组 织 依 
赖 于 一 个 复杂 系统 ， 那 么 控制 对 该 系统 的 访问 的 人 将 具有 很 大 的 权力 。 反 之 ， 如 果 一 个 组 织 
将 自身 重组 为 男 一 种 结构 ， 那 么 也 会 影响 系统 的 需求 和 使 用 。 

社会 技术 系统 是 复杂 系统 ， 这 意味 着 在 实践 中 事先 取得 对 系统 行为 的 完整 理解 几乎 是 不 
可 能 的 。 这 种 复杂 性 导致 了 社会 技术 系统 以 下 3 个 重要 特性 。 

1. 这 些 系统 会 涌现 出 一 些 整体 特性 ， 这 些 特性 是 系统 的 任何 一 个 单独 的 部 分 所 不 具备 
的 。 涌 现 出 的 整体 特性 同时 取决 于 系统 的 构件 以 及 它们 之 间 的 关系 。 这 些 关系 中 有 -一些 只 有 
当 系统 进行 构件 集成 时 才 会 出 现 ， 只 有 到 那个 时 候 才 能 对 这 些 涌现 特性 进行 评价 。 信 息 安全 
和 可 依赖 性 是 两 个 重要 的 系统 涌现 特性 的 例子 。 

2. 这 些 系统 是 不 确定 的 ， 它 们 接收 同样 的 输入 后 可 以 产生 不 同 的 输出 。 系 统 的 行为 取决 
于 人 类 操作 者 ， 而 人 并 不 总 是 以 同样 的 方式 做 出 反应 。 此 外 ， 系 统 在 使 用 过 程 中 还 可 能 会 创 
造 新 的 系统 构件 之 间 的 关系 ， 从 而 改变 系统 的 涌现 行为 。 | 

3. 判断 系统 成 功 的 准则 是 主观 而 不 是 客观 的 。 系 统 能 够 在 多 大 程度 上 支持 组 织 的 目标 不 
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仅 取决 于 系统 自身 ， 还 取决 于 组 织 目标 的 稳定 性 、 组 织 目标 之 间 的 关系 和 冲突 ， 以 及 组 织 中 
的 人 如 何 理解 这 些 目标 。 新 的 管理 层 可 能 会 重新 理解 系统 设计 时 所 考虑 的 组 织 目标 ， 从 而 导 
致 一 个 “成 功 的 ”系统 可 能 会 被 认为 不 再 适应 于 组 织 的 目标 。 

在 确定 一 个 系统 是 否 成 功 实现 其 目标 时 ， 对 社会 技术 因素 的 考虑 往往 十 分 重要 。 不 笠 的 
是 ,考虑 这 些 因 素 对 于 那些 在 社会 和 文化 思考 方面 没什么 经 验 的 工程 师 而 言 是 十 分 困难 的 。 
为 了 帮助 理解 系统 对 于 组 织 的 影响 ， 人 们 提出 了 一 些 社会 技术 系统 方面 的 方法 学 。 本 书 作者 
关于 社会 技术 系统 设计 的 论文 讨论 了 这 些 社会 技术 系统 设计 方法 的 优点 和 人 缺点 ( Baxter and 


Sommerville 2011 )。. 


19.1.1 涌现 特性 


一 个 系统 中 不 同 构件 之 间 的 复杂 关系 意味 着 系统 不 仅仅 是 其 组 成 部 分 的 简单 加 和 。 系 
统 具 有 一 些 整体 特性 。 这 些 “ 涌 现 特性 ”( Checkland 1981 ) 无 法 归于 系统 的 任何 一 个 特定 的 
部 分 ， 而 是 当 系 统 构件 集成 到 一 起 之 后 才 会 涌现 出 来 。 一 些 涌现 特性 ， 例 如 重量 ， 可 以 由 
子 系 统 的 特性 直接 得 出 。 然 而 ， 更 多 的 时 候 这 些 特性 是 由 子 系统 特性 以 及 子 系统 之 间 的 关 
系 二 者 相 结合 涌现 出 来 的 。 这 些 系统 特性 无 法 直接 在 单个 系统 构件 的 特性 基础 上 计算 得 到 。 
图 19-5 给 出 了 一 些 涌现 特性 的 例子 。 






系统 可 靠 性 取决 于 构件 的 可 靠 性 ， 但 非 预 期 的 构件 间 交 互 可 能 会 叶 致 新 
的 失效 类 型 ， 从 而 影响 系统 的 可 靠 性 
这 一 特性 反映 了 发 现 系统 的 一 个 问题 之 后 进行 修复 的 容易 程度 。 该 特性 
取决 于 诊断 问题 、 访 问 故障 构件 以 及 修改 或 替换 相关 构件 的 能 力 
系统 的 信息 安全 性 (系统 抵御 攻击 的 能 力 ) 是 一 种 无 法 简单 衡量 的 复杂 
属性 。 攻 击 可 能 会 超出 系统 设计 者 所 预料 的 范围 ， 因 此 可 能 会 攻破 系统 内 
置 的 保护 措施 
该 属性 反映 了 使 用 系统 的 难 易 程 度 。 该 属性 取决 于 技术 系统 构件 、 系 统 
操作 者 以 及 系统 运行 环境 


系统 的 体积 (所 占用 的 总 空间 ) 取决 于 构件 装配 是 如 何 安排 和 连接 的 


图 19-5 涌现 特性 的 例子 

















可 修复 性 











有 两 种 类 型 的 涌现 特性 。 

1. 功能 性 涌现 特性 ， 系 统 的 目的 仅 当 其 构件 集成 之 后 才 会 表现 出 来 。 例 如 ， 一 辆 目 行 车 
在 其 构件 组 装 完成 后 才 会 具有 成 为 交通 工具 的 功能 性 特性 。 

2. 非 功 能 性 涌现 特性 ， 与 系统 在 其 运行 环境 中 的 行为 相关 。 可 靠 性 、 性 能 、 安 全 性 、 信 
息 安 全 性 是 这 类 特性 的 例子 。 这 些 系统 特性 对 于 基于 计算 的 系统 而 言 十 分 重要 ， 因 为 如 果 不 
能 达到 这 些 属性 所 要 求 的 最 低级 别 ， 那 么 系统 通常 会 失效 。 一些 用 户 可 能 不 需要 系统 的 一 些 
功能 ， 因 此 系统 没有 这 些 功能 可 能 也 是 可 以 接受 的 s 然而 ， 一 个 不 可 徘 或 太 慢 的 系统 很 可 能 
会 被 所 有 的 用 户 拒绝 。 

涌现 特性 ， 例 如 可 靠 性 ， 取 决 于 单个 构件 的 特性 ， 又 取决 于 构件 之 间 的 交互 或 关系 。 例 
如 ， 一 个 社会 技术 系统 的 可 靠 性 受 以 下 三 方面 因素 的 影响 。 

1. 硬件 可 靠 性 。 一 个 硬件 构件 出 现 故障 的 概率 如 何 ， 以 及 修复 一 个 故障 构件 需要 多 长 
时 间 ? 
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2. 软件 可 靠 性 。 一 个 软件 构件 有 多 大 可 能 性 会 产生 不 正确 的 输出 ? 软件 失效 与 硬件 失效 
的 不 同 之 处 在 于 软件 不 会 磨损 。 失 效 经 常 是 短暂 的 。 系 统 在 产生 不 正确 的 结果 后 还 可 以 继续 
运行 。 

3. 操作 人 员 可 靠 性 。 一 个 系统 的 操作 人 员 有 多 大 的 可 能 性 会 犯错 误 并 提供 不 正确 的 输 
A? 软件 有 多 大 的 可 能 性 会 检测 不 到 该 错误 并 将 错误 传播 出 去 ? 

硬件、 软件 和 操作 人 员 可 徘 性 并 不 是 相互 独立 的 ， 而 是 以 非 预 期 的 方式 相互 影响 的 。 图 19-6 
描述 了 一 个 系统 中 某 个 层次 上 的 失效 是 如 何 传 


播 到 其 他 层次 的 。 例 如 ， 一 个 系统 中 的 某 个 硬 ro 
件 构件 开始 出 错 。 硬 件 失效 有 时 会 生成 超出 软 人 
件 所 预期 的 输入 范围 的 失真 信号 。 于 是 ， 软 件 ‘i MAT Bd A 


可 能 会 以 无 法 预测 的 方式 运行 并 产生 非 预期 的 Ree 
输出 。 这 些 可 能 会 使 系统 操作 人 员 感 到 困惑 并 全 MET 
因此 导致 他 们 感到 压力 。 

我 们 知道 人 在 感到 压力 的 时 候 更 容易 犯错 。 
因此 一 个 硬件 错误 可 能 会 导致 操作 人 员 犯 错 。 
这 些 错 误 又 会 导致 非 预 期 软件 行为 ， 从 而 产生 图 19-6 ”失效 传播 
额外 的 处 理 器 负载 。 这 可 能 会 导致 硬件 过 载 ， 
导致 更 多 的 失效 等 。 因 此 ， 一 个 初始 的 较 小 的 失效 可 能 会 快速 发 展 为 一 个 可 能 导致 系统 完全 
停机 的 严重 问题 。 

一 个 系统 的 可 靠 性 取决 于 系统 使 用 所 处 的 上 下 文 环境 。 然 而 ,我 们 通常 无 法 完整 地 刻画 
系统 的 运行 环境 ， 而 且 系统 设计 者 通常 都 无 法 限定 系统 的 运行 环境 。 在 同一 个 环境 中 运行 的 不 
同 的 系统 可 能 会 以 无 法 预测 的 方式 对 错误 做 出 不 同 的 反应 ， 从 而 影响 所 有 这 些 系 统 的 可 靠 性 。 

例如 ， 一 个 系统 是 按照 通常 的 室内 温度 设计 的 。 为 了 适应 不 同 的 以 及 异常 环境 ， 系 统 的 
电子 构件 被 设计 为 可 以 在 一 定 范围 内 的 不 同 温度 下 工作 ， 例 如 从 0 ~ 40 摄氏 度 。 超 出 此 温 
度 范围 的 话 ， 这 些 构件 会 以 无 法 预测 的 方式 工作 。 现 在 假设 该 系统 被 安装 在 一 个 空调 附近 。 
如 果 这 个 室 调 发 生 失 效 并 且 对 着 这 些 电 子 构件 吹 热风 的 话 ， 那么 系统 可 能 会 过 热 。 这 些 构件 
以 及 整个 系统 都 可 能 会 失效 。 

如 果 该 系统 安装 在 环境 中 的 其 他 地 方 ， 那 么 这 个 问题 就 不 会 改 生 了 。 当 空调 正常 工作 
的 时 候 ， 没 有 问题 。 然 而 ， 由 于 这 些 机 响 在 物理 位 置 上 过 于 接近 ， 它 们 之 间 产 生 了 一 种 意 想 
不 到 的 关系 ， 这 种 关系 导致 了 系统 失效 。 就 像 可 靠 性 一 样 ， 性 能 或 可 用 性 等 涌现 特性 很 难 评 
Or, 但 是 可 以 在 系统 投入 运行 后 进行 度量 。 然 而 ,安全 性 和 信息 安全 性 这 样 的 特性 无 法 直接 
度量 。 因 为 它们 并 不 是 仅仅 简单 地 取决 于 与 系统 行为 相关 的 属性 ， 而 且 还 与 我 们 不 想 出 现 或 
不 可 接受 的 系统 行为 相关 。 

一 个 信息 安全 的 系统 不 会 允许 对 其 数据 的 非 授权 访问 。 不 幸 的 是 ,事先 预 测 所 有 可 能 的 
非 授 权 访 问 模式 并 且 显 式 地 禁止 它们 显然 是 不 可 能 的 。 因 此 ， 只 有 在 系统 投入 运行 之 后 才能 
对 这 些 “ 不 应 当 ” 的 属性 进行 评价 。 也 就 是 说 ， 只 是 在 有 人 设法 侵 和 人 系统 时 才 知 道 系统 是 不 
安全 的 。 


19.1.2 不 确定 性 
一 个 确定 性 的 系统 是 绝对 可 预测 的 。 如 果 我 们 不 考虑 并 发 问题 ， 那么 运行 在 可 靠 的 硬件 
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之 上 的 软件 系统 是 确定 性 的 。 给 定 一 个 输入 序列 ， 它 们 总 是 产生 同样 的 输出 序列 。 当 然 ， 并 
不 存在 所 谓 的 完全 可 靠 的 硬件 ， 但 是 硬件 通常 还 是 足够 可 靠 ， 因 此 硬件 系统 可 以 被 认为 是 确 
定性 的 。 

而 另 一 方面 ， 人 是 不 确定 的 。 给 定 完 全 一 样 的 输入 ( 即 一 个 任务 请 求 )， 他 们 的 啊 应 将 
取决 于 他 们 的 精神 和 身体 状态 、 发 出 请 求 的 人 、 环 境 中 的 其 他 人 ， 以 及 他 们 正在 做 的 其 他 事 
情 。 有 时 候 他 们 会 很 高 兴 完 成 别人 请 求 的 任务 ， 而 有 的 时 候 他 们 则 会 拒绝 ; 有 时 候 他 们 会 完 
成 得 很 好 ， 而 有 些 时 候 则 完成 得 很 糟糕 。 

社会 技术 系统 是 不 确定 的 ， 这 在 一 定 程 度 上 是 因为 这 些 系 统 包 括 人 ， 此 外 也 在 一 定 程 度 
上 是 因为 对 于 这 些 系 统 中 的 人 硬件、 软件 和 数据 的 变更 过 于 频繁 。 这 些 变更 之 间 的 交互 十 分 复 
杂 ， 因 此 系统 的 行为 是 无 法 预测 的 。 用 户 不 知道 什么 时 候 以 及 为 什么 会 发 生变 化 ， 因 此 他 们 
认为 系统 是 不 确定 的 。 

例如 ， 一 个 系统 收 到 20 个 测试 输入 。 该 系统 处 理 这 些 输入 ， 人 处 理 结果 会 被 记录 下 来 。 
此 后 ， 同 样 的 20 个 测试 输入 再 次 进行 处 理 ， 将 结果 和 此 前 保存 的 结果 进行 比较 。 其 中 5 个 
结果 是 不 同 的 。 那 么 这 意味 着 发 生 了 5 次 失效 吗 ? 或 者 这 些 差异 只 是 系统 行为 的 合理 变化 而 
B? 你 只 能 通过 深入 分 析 输 出 结果 并 对 系统 处 理 每 个 输入 的 方式 进行 推测 才 有 可 能 做 出 相应 
的 判断 。 

不 确定 性 经 党 被 认为 是 一 件 坏 事 ， 并 且 设 计 者 应 当 尽 其 所 能 避免 系统 的 不 确定 性 行为 。 
事实 上 ， 在 社会 技术 系统 中 ， 非 确定 性 有 着 重要 的 益处 。 它 意味 着 一 个 系统 的 行为 并 不 总 是 
固定 的 ， 而 是 可 以 根据 系统 的 环境 进行 变化 。 例 如 ， 操 作 人 员 可 能 会 观察 到 系统 正 表现 出 失 
效 的 迹象 。 此 时 ， 他 们 会 改变 自己 的 行为 来 诊断 问题 ， 并 从 所 发 现 的 问题 中 进行 恢复 ， 而 不 
是 按照 常规 方式 使 用 系统 。 


19.1.3 成 功 准则 


一 般 而 言 ， 复 杂 的 社会 技术 系统 都 是 被 开发 用 来 应 对 “非常 规 问 题 ” 的 ( Rittel and 
Webber 1973 )。 非 常规 问题 是 指 问 题 十 分 复杂 ， 其 中 包含 相当 多 的 相互 关联 的 实体 ， 以 至 于 
无 法 明确 给 出 问题 的 规格 说 明 。 不 同 的 利益 相关 者 看 问题 的 方式 不 同 ， 没 有 人 对 问题 完全 理 
解 。 问 题 真正 的 形态 只 有 当 一 个 解决 方案 开发 出 来 之 后 才 会 浮现 出 来 。 非 常规 问题 的 一 个 极 
端的 例子 是 应 对 地 震 救援 的 应 急 规划 。 没 有 人 能 准确 预测 地 震 的 震中 在 哪里 ， 什 么 时 候 会 发 
生 ,， 或 者 对 本 地 环境 会 造成 什么 样 的 影响 。 详 细 刻 画 如 何 应 对 该 问题 是 不 可 能 的 。 系 统 设计 
者 必须 做 出 假设 , 但 是 只 有 当地 震 发 生 后 才 会 知道 需要 什么 。 

这 使 得 我 们 很 难 定义 一 个 系统 的 成 功 准则 。 如 何 才能 确定 一 个 新 系统 是 否 对 为 此 付 钱 的 
公司 的 业务 目标 有 贡献 ? 对 于 一 个 系统 是 否 成 功 的 判断 通常 并 不 是 基于 采购 和 开发 该 系统 时 
的 考虑 来 确定 的 。 这 一 判断 是 基于 该 系统 在 部 署 时 是 否 有 效 而 做 出 的 。 由 于 业务 环境 可 能 会 
快速 变化 ， 业 务 目 标 可 能 会 在 系统 开发 期 间 发 生 很 大 变化 。 

当 存 在 多 个 相互 冲突 、 不 同 利益 相关 者 的 理解 各 不 相同 的 目标 时 ， 情 况 变 得 更 加 复杂 。 
例如 ，Mentcare 系统 所 基于 的 系统 被 设计 用 来 满足 两 个 不 同 的 业务 目标 : 

1. 提高 精神 病 炳 人 诊疗 的 质量 ; 

2. 通过 为 管理 人 员 提 供 关 于 诊疗 服务 及 其 费用 的 详细 报告 ， 提 高 诊疗 的 经 济 性 。 

不 幸 的 是 ， 这 两 个 目标 被 证 明 是 冲突 的 ， 因 为 满足 报告 目标 所 需 的 信息 意味 着 医生 和 护 
土 必须 在 他 们 常规 记录 的 健康 信息 之 上 以 及 之 外 提供 更 多 的 信息 。 这 一 点 降低 了 为 病人 的 诊 
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疗效 末 ， 因 为 这 意味 着 医护 人 员 与 病人 的 交谈 时 间 减 少 了 。 从 一 个 医生 的 角度 看 ， 该 系统 与 
此 前 的 手工 系统 相 比 并 没有 什么 改进 ,但 是 从 管理 人 员 的 角度 看 则 有 改进 。 

因此 ， 在 系统 工程 过 程 早期 阶段 所 建立 的 任何 成 功 准 则 通常 都 必须 在 系统 开发 和 使 用 过 
程 中 重新 进行 考虑 。 你 无 法 对 这 些 准则 进行 客观 评价 ， 因 为 它们 取决 于 系统 对 于 其 环境 和 用 
户 所 产生 的 效果 。 一 个 系统 可 能 会 明显 满足 最 初 定义 的 需求 ,但 事实 上 则 可 能 由 于 使 用 环境 
的 变化 而 变 成 无 用 的 。 


19.2 ”概念 设计 


一 个 系统 的 最 初 设想 一 旦 被 提出 ， 概 念 设计 就 是 在 系统 工程 过 程 中 第 一 个 要 做 的 事情 。 
在 概念 设计 阶段 ， 基 于 这 个 最 初 的 设想 评估 其 可 行 性 ， 并 对 其 进行 发 展 以 创建 一 个 可 以 实现 
的 系统 总 体 愿 景 。 接 下 来 ， 必 须 以 某 种 方式 描述 所 设想 的 系统 ， 使 得 非 技 术 专家 ， 例 如 系统 
用 户 、 公 司 的 高 层 决 策 者 或 者 政治 家 ， 可 以 理解 你 所 说 的 。 

概念 设计 与 需求 工程 之 间 存 在 着 明显 的 重 释 部分。 作为 概念 设计 过 程 的 一 部 分 ， 你 必须 
设想 一 下 所 提出 的 系统 将 如 何 被 使 用 。 这 可 能 会 包含 与 潜在 用 户 及 其 他 利益 相关 者 的 讨论 、 
焦点 小 组 、 观 察 现 存 系统 的 使 用 方式 。 这 些 活动 的 目的 是 理解 用 户 如 何 工 作 、 对 于 他 们 重要 
的 事情 、 以 及 系统 可 能 有 哪些 现实 约束 。 

建立 一 个 关于 所 设想 系统 的 愿景 的 重要 性 很 少 在 软件 设计 和 需求 文献 中 提 及 。 然 而 ， 
多 年 以 来 这 一 愿景 一 直 都 是 军用 系统 的 系统 工程 过 程 中 的 一 部 分 。Fairley A (Fairley, 
Thayer, and Bjorke 1994 ) 介绍 了 概念 分 析 的 思想 以 及 如 何在 “运行 概念 ”( Concept of 
Operations, ConOps) 文档 中 描述 概念 分 析 的 结果 。 开 发 一 份 ConOps 文档 的 思想 现在 已 经 
在 大 规模 系统 中 得 到 了 广泛 使 用 ， 你 可 以 在 网 上 找到 很 多 关于 ConOps 文档 的 例子 。 

不 华 的 是 ， 正 如 许多 军用 系统 和 政府 系统 那样 ， 好 的 思想 也 会 在 僵化 并 且 不 灵活 的 标准 
中 变 得 一 团 糟 。ConOps 就 是 这 样 ， 有 一 个 这 样 的 文档 标准 (IEEE，2007 )。 正 如 Mostashari 
等 人 (Mostashari et al.2012 ) 所 言 ， 这 一 标准 会 造成 元 长 、 不 可 读 的 文档 ， 无 法 实现 它们 最 
初 的 目的 。 他 们 提出 了 一 种 更 加 敏捷 的 开发 ConOps 文档 的 方法 ， 具 有 更 加 短小 而 且 更 加 灵 
活 的 文档 作为 该 过 程 的 输出 。 

我 不 喜欢 “运行 概念 ”( Conceptof Operation) 这 个 词 ， 一 定 程度 上 是 因为 它 所 具有 的 军 
用 含义 ， 同 时 也 是 因为 我 觉得 概念 设计 文档 不 仅仅 与 系统 运行 相关 ， 这 个 文档 还 应 该 描述 系 
统 工程 师 关 于 系统 的 其 他 一 些 理解 ， 包 括 为 什么 要 开发 该 系统 、 关 于 当前 设计 方案 的 合理 性 
解释 ， 有 了 时候 还 会 包括 系统 的 初始 组 织 结构 。 正 如 Fairley 所 说 ,“ 它 应 当 被 写 得 像 讲 故 事 一 
样 "， 也 就 是 说 写 得 让 没有 技术 背景 的 人 也 能 理解 其 中 所 提出 的 方案 。 

图 19-7 描述 了 概念 设计 过 程 可 能 包 插 的 活动 。 概 念 设计 应 当 都 是 一 个 团队 过 程 ， 其 中 
包括 具有 不 同 背 景 的 人 。 例 如 ， 笔 者 就 是 第 1 章 中 所 介绍 的 数字 化 学 习 环 境 的 概念 设计 团队 
的 一 员 。 这 个 数字 化 学 习 环境 的 设计 团队 包括 教师 、 教 育 研究 者 、 软 件 工 程 师 、 系 统管 理 员 
以 及 系统 管理 者 。 

概念 构想 是 该 过 程 的 第 一 个 阶段 ， 在 此 阶段 试图 对 关于 系统 目的 的 初始 陈述 进行 细 化 ， 
并 确定 什么 样 的 系统 最 能 够 满足 系统 利益 相关 者 的 需要 。 在 开发 数字 化 学 习 环 境 时 ， 我 们 一 
开始 被 要 求 提 出 一 个 比 现 在 的 系统 更 容易 使 用 的 学 校 间 信 息 共 享 的 内 部 网 络 方案 。 然 而 ， 与 
教师 们 讨论 后 ， 我 们 发 现 这 并 不 真是 人 们 所 需要 的 。 当 前 系统 用 起 来 很 糟糕 ， 但 是 人 们 已 经 
有 变通 方法 了 。 他 们 真正 需要 的 是 一 个 灵活 的 数字 化 学 习 环 境 ， 能 够 从 互联 网 上 免费 获取 并 
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添加 课程 以 及 面向 不 同年 龄 的 工具 和 内 容 。 





系统 愿景 文档 


图 19-7 概念 设计 活动 

我 们 发 现 这 一 点 是 因为 概念 构想 活动 与 问题 理解 活动 有 重 压 。 为 了 理解 问题 ， 需 要 与 用 
户 和 其 他 利益 相关 者 探讨 他 们 是 如 何 工 作 的 。 需 要 找 出 哪些 东西 对 于 他 们 是 重要 的 、 哪 些 障 
碍 使 得 他 们 无 法 做 自己 想 做 的 事情 ， 以 及 他 们 对 于 系统 所 需要 的 改变 的 想法 。 你 需要 虚心 听 
取 他 们 的 意见 (这 是 他 们 的 问题 而 不 是 你 的 )， 并 且 准 备 在 现实 与 你 最 初 的 设想 不 一 致 时 随 
时 改变 目 己 的 思想 。 

在 系统 方案 开发 阶段 ， 概 念 设计 团队 拟定 一 组 候选 的 系统 方案 ， 这 些 设想 是 可 行 性 研究 
的 基础 ， 而 可 行 性 研究 将 确定 哪 一 个 候选 方案 值得 进行 进一步 的 开发 。 在 可 行 性 分 析 中 ， 你 
应 当 留 意 一 些 其 他 地 方 开发 的 相似 系统 以 及 可 能 影响 系统 使 用 的 技术 问题 (例如 移动 设备 的 
使 用 )。 接 着 ,你 需要 评估 系统 能 否 使 用 当前 的 硬件 和 软件 技术 来 实现 。 

还 有 一 个 有 用 的 活动 是 为 系统 设计 一 个 概要 结构 或 体系 结构 。 该 活动 对 于 做 出 可 行 性 评 
价 以 及 为 更 详细 的 需求 工程 和 体系 结构 设计 提供 基础 两 个 方面 都 是 有 帮助 的 。 此 外 ， 由 于 当 
前 的 大 部 分 系统 都 是 在 现 有 系统 和 构件 基础 上 装配 而 成 的 ， 因 此 一 个 初始 的 体系 结构 意味 着 
系统 的 关键 部 分 都 已 经 识别 出 来 了 并 上 且 可 以 分 别 进行 获取 。 这 种 方法 经 常会 比 以 整体 的 方式 
从 单个 供应 商 那里 获取 一 个 单 体 系统 要 好 。 

对 于 数字 化 学 习 环 境 而 言 ， 我 们 决定 使 用 一 种 分 层 服务 体系 结构 ( 见 图 1-8 )。 系 统 的 
所 有 构件 都 应 当 是 可 替换 的 服务 。 通 过 这 种 方式 ， 用 户 可 以 用 他 们 喜欢 的 服务 来 蔡 换 标准 服 
务 以 适应 使 用 该 系统 进行 学 习 的 学 生 们 的 不 同年 龄 和 兴趣 。 

所 有 这 些 活 动 都 会 产生 可 用 于 开发 系统 愿景 文档 的 信息 。 该 文档 是 一 份 重 要 的 文档 ， 高 
层 决策 者 需要 使 用 该 文档 来 确定 该 系统 的 进一步 开发 是 否 需 要 进行 。 该 文档 还 会 被 用 于 开发 
进一步 的 文档 ， 例 如 风险 分 析 和 预算 估计 ， 这 些 也 是 决策 过 程 的 重要 输入 。 

管理 者 使 用 系统 愿景 文档 来 理解 系统 ; 采购 团队 使 用 该 文档 来 定义 采购 要 求 文档 ; 需求 
工程 师 将 文档 作为 细 化 系统 需求 的 基础 。 因 为 这 些 不 同 的 人 所 需要 的 详细 程度 不 同 ， 建 议 按 
照 以 下 两 个 部 分 组 织 该 文档 。 

1. 面向 高 层 决策 者 的 一 小 段 概 述 ， 其 中 陈述 了 问题 的 关键 要 点 以 及 所 建议 的 系统 。 这 一 
部 分 应 当 写 得 能 让 读者 立刻 了 解 系 统 将 如 何 被 使 用 以 及 该 系统 可 以 带 来 的 收益 。 

2. 一 些 更 详细 地 陈述 相关 设想 的 附录 ， 这 些 内 容 可 以 在 系统 采购 和 需求 工程 活动 中 
使 用 。 
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编写 关于 系统 愿景 的 概述 是 很 有 挑战 性 的 ， 因 为 这 部 分 的 读者 都 很 忙 并 且 不 太 可 能 具有 
技术 背景 。 使 用 用 户 故 事 很 有 效 ， 它 可 以 提供 通俗 易 懂 、 非 技术 人 员 容 易 接受 的 关于 系统 使 
用 的 愿景 描述 。 正 如 图 19-8 所 示 ， 故 事 应 当 短 小 并 且 是 个 性 化 的 ， 应 当 是 关于 系统 使 用 的 
一 种 可 行 的 描述 。 第 4 章 中 有 男 一 个 来 自 同一 系统 的 用 户 故 事 的 例子 ( 见 图 4-9 )。 


数字 化 艺术 


Jill 是 敦 提 ( Dundee) 的 一 所 中 学 的 学 生 。 她 自己 有 一 部 智能 手机 ， 她 家 里 有 一 个 共用 的 三 星 
平板 电脑 和 一 个 戴尔 笔记 本 电脑 。 在 学 校 的 时 候 ，Jill 登录 学 校 的 计算 机 之 后 可 以 看 到 一 个 个 性 化 
的 Glow+ 环境 ， 其 中 包括 一 系列 服务 (有 些 是 她 的 老师 们 选择 的 ， 有 些 则 是 她 自己 从 Glow 应 用 
库 里 面 选择 的 )。 

她 正在 做 一 个 凯 尔 特 人 艺术 项 目 ,” 因 此 她 使 用 Google 来 研究 一 些 艺术 网 站 。 她 先 在 纸 上 画 出 
一 些 设计 草图 ， 然 后 使 用 她 的 手机 土 的 摄像 头 把 它 拍 下 来 ， 并 使 用 学 校 的 无 线 网 络 把 照片 上 传 到 
她 的 个 人 Glow+ 空间 中 。 她 的 家 庭 作业 是 完成 这 个 设计 并 且 把 自己 的 想法 写成 一 段 说 明 。 


在 家 里 ， 她 使 用 家 里 的 平板 电脑 来 登录 Glow+、 然 后 使 用 一 个 艺术 品 应 用 来 处 理 她 的 照片 并 
且 进 一 步 完 善 作品 、 涂 色 等 。 她 完成 这 部 分 工作 之 后 ， 为 了 完成 作业 她 转 而 使 用 家 里 的 笔记 本 电 
脑 来 撰写 自己 的 说 明 。 她 将 已 完成 的 作业 上 传 到 Glow+ 上 并 且 发 一 条 消息 给 一 位 现在 有 空 对 她 的 
作业 进行 评阅 的 艺术 老师 。 她 的 老师 在 Jill 的 下 一 堂 艺术 课 之 前 抽空 用 学 校 的 平板 电脑 看 了 她 的 项 
目 ， 然 后 在 课堂 上 与 Jill 讨论 了 这 个 作品 。 

讨论 之 后 ，Jill 和 她 的 老师 决定 将 这 个 作品 分 享 出 去 ， 因 此 她 们 将 该 作品 发 布 到 了 学 校 进行 学 
生 作 品 展 示 的 网 页 上 。 此 外 ， 这 个 作品 也 放 在 了 Jil 的 电子 书包 中 ， 这 里 面 将 保存 她 从 3 岁 到 18 
岁 的 学 校 作业 。 





图 19-8 一 个 系统 愿景 文档 中 所 使 用 的 用 户 故 事 


用 户 故事 很 有 效 ， 因 为 正如 前 面 所 讨论 的 ， 读 者 容易 接受 用 户 故 事 ; 此 外 ， 用 户 故 事 可 
以 以 一 种 容易 理解 的 方式 显示 所 建议 的 系统 的 能 力 。 当 然 ， 这些 只 是 系统 愿景 的 一 部 分 ， 系 
统 概述 还 必须 包括 所 做 出 的 基本 假设 的 高 层 描述 以 及 系统 将 以 何 种 方式 为 组 织 创造 价值 。 


19.3 ”系统 采购 


系统 采购 或 系统 获取 是 一 个 以 从 系统 供应 商 那里 购买 一 个 或 多 个 系统 的 决策 为 结果 的 过 
程 。 在 这 个 阶段 ， 决 策 是 根据 需要 购买 的 系统 的 范围 、 系 统 预算 和 时 间 要 求 、 高 层 系 统 需求 
等 做 出 的 。 在 这 些 信息 基础 上 ， 将 做 出 关于 是 否 采 购 一 个 系统 、 所 需要 的 系统 类 型 、 系 统 的 
供应 商 等 方面 的 进一步 决策 。 这 些 决 策 的 驱动 力 包括 以 下 几 个 方面 。 

1. 组 织 中 需要 替换 其 他 系统 。 如 果 该 组 织 混合 了 一 些 无 法 一 起 工作 或 者 维护 成 本 昂贵 的 
系统 ， 那 么 采购 一 个 具有 新 能 力 的 蔡 换 系统 可 能 会 带 来 显著 的 业务 效益 。 

2. 符合 外 部 监管 的 需要 。 一 个 组 织 的 业务 受到 的 监管 越 多 ， 就 越 需要 展现 与 外 部 监管 要 
求 的 符合 性 〈 例 如 美国 的 萨 班 斯 - 奥克斯 利 会 计 准 则 )。 这 一 符合 性 可 能 会 要 求 蔡 换 不 相符 
的 系统 或 者 提供 新 系统 来 专门 对 系统 的 符合 性 进行 监测 。 

3. 外 部 竞争 。 如 果 茶 个 业务 需要 获得 或 者 保持 竞争 地 位 ， 那 么 管理 者 可 能 会 决定 购买 新 
的 系统 来 提高 业务 效率 和 有 效 性 。 对 于 军用 系统 而 言 ， 提 高 面 对 新 威胁 时 的 应 对 能 力 是 采购 
新 系统 的 一 个 重要 理由 。 

4. 业务 重组 。 业 务 以 及 组 织 中 的 其 他 部 分 经 常 为 了 改进 效率 和 /或 客户 服务 而 重组 。 重 
组 导致 业务 过 程 的 变更 ， 从 而 要 求 新 的 系统 支持 。 

5. 可 用 的 预算 。 可 用 的 预算 显然 是 决定 可 以 采购 的 新 系统 范围 的 一 个 因素 。 
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此 外 ， 和 采购 新 的 政府 系统 经 常 可 以 反映 政治 政策 方面 的 变化 。 例 如 ， 政 治 家 可 能 会 决定 
购买 他 们 声称 可 以 反 铠 的 新 的 监控 系统 。 政 治 家 们 通过 购买 这 种 系统 向 选民 们 表明 他 们 在 采 
取 行 动 。 

大 型 复杂 系统 的 开发 通常 都 会 同时 采用 商用 第 三 方 成 品 构件 以 及 专门 构造 的 构件 。 这 
些 构件 经 常 要 与 已 有 的 遗留 系统 和 组 织 的 数据 库 相 集成 。 当 使 用 遗留 系统 和 第 三 方 成 品系 统 
时 ， 可 能 需要 新 的 定制 化 软件 来 集成 这 些 构件 。 新 的 软件 管理 构件 接口 从 而 使 它们 可 以 互 操 
作 。 开 发 这 种 “黏合 剂 ” 的 需要 在 一 定 程度 上 使 得 使 用 第 三 方 成 品 构 件 带 来 的 节省 有 时 没有 
预期 那么 大 。 

有 3 种 类 型 的 系统 或 系统 构件 可 能 是 必须 采购 的 : 

1. 无 须 修改 就 可 以 使 用 的 第 三 方 成 品 应 用 ， 通常 只 需要 按照 使 用 要 求 进行 少量 的 配置 ; 

2. 必须 通过 修改 代码 或 者 使 用 内 建 的 配置 特性 (例如 ， 过 程 定义 和 规则 ) 进行 修改 或 适 
配 才 能 使 用 的 可 配置 应 用 或 ERP 系统 ; 

3. 必须 特别 设计 和 实现 才能 使 用 的 定制 化 系统 。 

这 些 构 件 所 遵循 的 采购 过 程 往往 各 不 相同 。 图 19-9 反映 了 这 3 类 系统 采购 过 程 的 主要 
特征 。 采 购 过 程 之 后 的 关键 问题 如 下 。 





co 系统 





图 19-9 系统 采购 过 程 


1. 组 织 经 常 有 一 组 已 经 由 IT 部 门 检查 过 的 、 已 批准 和 推荐 的 应 用 软件 清单 。 通 常 有 可 

能 无 须 论 证 直接 从 该 清单 中 购买 或 获取 开源 软件 。 例 如， 在 数字 化 学 习 系 统 中 ,我 们 推荐 

使 用 Wordpress 来 为 学 生 和 教师 提供 博客 服务 。 如 果 需 要 手机 ， 那 么 可 以 购买 第 三 方 成 品 硬 
件 。 这 里 没有 详细 的 需求 ， 用 户 需 要 适应 所 选择 的 应 用 所 提供 的 特性 。 

2. 第 三 方 成 品 构件 通常 并 不 是 完全 与 需求 匹配 的 ， 除 非 需求 是 在 考虑 这 些 构件 的 情况 下 

编写 的 。 因 此 ， 选 择 一 个 系统 意味 着 你 必须 找到 系统 需求 与 第 三 方 成 品系 统 所 提供 的 特性 之 

间 的 最 佳 匹配 。ERP 和 其 他 大 规模 应 用 系统 通常 属于 这 一 类 。 你 可 能 不 得 不 修改 需求 以 与 系 
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统 假设 相 适应 。 这 可 能 会 对 其 他 子 系统 产生 影响 。 你 通常 还 需要 一 个 广泛 的 配置 过 程 ， 根 据 
购买 方 的 工作 环境 对 应 用 或 ERP 系统 进行 裁剪 和 适 配 。 

3. 当 一 个 系统 需要 专门 构建 时 ， 需 求 规格 说 明 是 所 获取 的 系统 的 合同 的 一 部 分 。 因 此 ， 
该 需求 规格 说 明 既 是 一 份 法 律 文书 同时 也 是 一 份 技术 文档 。 需 求 文档 很 重要 ， 这 种 类 型 的 采 
购 过 程 通常 需要 花费 很 长 时 间 。 

4. 对 于 公共 部 门 的 系统 而 言 ， 存 在 影响 系统 采购 的 详细 规则 和 规定 。 例 如 ， 在 欧盟 ， 所 
有 的 公共 部 门 系统 如 果 超 过 一 定 的 价格 那么 必须 公开 面向 欧洲 的 任何 供应 商 进 行 招标 。 这 需 
要 草拟 详细 的 招标 文档 ， 并 且 招 标 要 面向 整个 欧洲 进行 一 定时 间 的 公开 宣传 。 这 一 规定 不 仅 
减 慢 了 招标 过 程 ， 而 且 还 存在 不 利于 敏捷 开发 的 倾向 。 它 人 迫使 系统 购买 方 明 确定 义 需 求 使 得 
所 有 公司 都 能 获得 足够 的 信息 来 对 系统 进行 投标 。 

5. 对 于 需要 修改 的 应 用 系统 或 者 定制 化 系统 ， 通 稼 都 会 有 一 个 合同 协商 阶段 ， 使 得 客 
户 和 供应 商 可 以 就 系统 开发 的 条 款 和 条 件 进 行 协商 。 一 且 确 定 选 择 某 个 系统 ， 你 可 以 与 供应 
商 就 成 本 、 许 可 证 条 件 、 对 于 系统 的 可 能 的 修改 以 及 其 他 合同 条 坎 进 行 协商 。 对 于 定制 化 
系统 ， 协 商 的 内 容 很 可 能 会 包括 支付 规划 、 报 告 、 验 收 准则 、 需 求 变 更 要 求 、 系 统 变 更 成 
本 等 。 在 此 过 程 中 ， 双 方 可 能 会 就 一 些 需求 变更 达成 一 致 以 降低 整体 成 本 同时 避免 一 些 开 发 
问题 。 

复杂 的 社会 技术 系统 很 少 由 系统 的 购买 方 “ 关 门 ”进行 开 发 。 他 们 往往 会 邀请 外 部 的 
系统 公司 参与 系统 工程 合同 的 投标 。 客 户 的 业务 并 不 是 系统 工程 ， 因 此 他 们 的 雇员 自 喘 并 没 
有 自己 开发 系统 所 需 的 技能 。 对 于 复杂 的 硬件 / 软件 系统 ， 有 可 能 要 使 用 一 组 供应 商 ， 其 中 
每 一 个 都 具有 不 同类 型 的 知识 和 经 验 。 对 于 大 型 系统 ， 例 如 一 个 空中 交通 管理 系统 ， 一 组 供 
应 商 可 以 组 成 一 个 联合 体 来 对 一 个 合同 进行 投标 。 该 联合 体 应 当 包括 这 类 系统 所 需 的 所 有 能 
力 。 对 于 空中 交通 管理 系统 而 言 ， 该 联合 体 将 包括 计算 机 硬件 供应 商 、 软 件 公司 、 外 围 供应 
商 以 及 专业 设备 (例如 雷达 系统 ) 供应 商 。 

客户 通常 并 不 希望 与 多 个 供应 商 进行 协商 ， 因 此 合同 通常 都 会 与 一 个 主 承 包 商 签订 ， 由 
他 们 对 项 目 进行 协调 。 主 承包 商 对 不 同 子 承 包 商 各 自负 责 的 子 系统 的 开发 进行 协调 。 子 承包 
商 按照 与 主 承 包 商 和 客户 协商 一 致 的 规格 说 明 对 系统 的 一 些 部 分 进行 设计 和 构造 。 一 旦 完 
成 ， 主 承包 商会 将 这 些 构件 集成 起 来 并 将 它们 交付 给 客户 。 

在 系统 工程 过 程 的 采购 阶段 做 出 的 决策 对 于 该 过 程 此 后 那些 阶段 而 言 十 分 重要 。 糟 糕 
的 采购 决策 经 常 导致 各 种 问题 ， 例 如 ， 系 统 的 延迟 交付 ， 开 发 出 的 系统 不 适合 其 运行 环境 等 
等 。 如 果 选 择 了 错误 的 系统 或 错误 的 供应 商 ， 那 么 系统 和 软件 工程 的 技术 过 程 将 变 得 更 加 
复杂 。 

例如 ， 笔 者 研究 过 一 个 系统 “失效 ”， 其 中 所 包含 的 一 个 决策 选择 了 一 个 ERP 系统 ， 因 
为 这 将 使 得 整个 组 织 的 运转 能 够 “标准 化 ”。 但 实际 上 该 组 织 内 的 业务 运行 方式 多 种 多 样 ， 
事实 证 明 这 样 有 很 多 好 处 。 标 准 化 实际 上 是 做 不 到 的 。 该 ERP 系统 无 法 适应 这 种 多 样 性 。 
该 系统 最 终 在 造成 大 约 1 000 万 欧元 的 开销 之 后 被 抛弃 了 。 

系统 采购 阶段 所 做 的 决策 和 选择 ， 对 于 系统 的 信息 安全 和 可 依赖 性 有 着 深远 的 影响 。 例 
如 ， 如 果 决 定 采购 一 个 第 三 方 成 品系 统 ， 那 么 该 组 织 必须 接受 他 们 对 该 系统 的 信息 安全 和 可 
依赖 性 需求 毫 无 发 言 权 的 事实 。 系 统 信息 安全 性 取决 于 系统 供应 商 所 做 的 决策 。 此 外 ， 第 三 
方 成 品系 统 可 能 会 有 已 知 的 信息 安全 弱点 ， 或 者 可 能 需要 复杂 的 配置 。 配 置 错 误 可 能 导致 系 
统 的 入 口 没 有 得 到 妥善 的 保护 ， 这 是 信息 安全 问题 的 一 类 突出 的 原因 。 
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男 一 方面 ,采购 一 个 定制 化 系统 的 决策 意味 着 需要 花费 很 大 的 工作 量 来 理解 和 定义 系统 
的 信息 安全 和 可 依赖 性 需求 。 如 果 一 个 公司 在 这 个 领域 经 验 不 足 ， 那 么 这 将 是 很 困难 的 一 件 
事情 。 如 果 要 达到 所 要 求 的 可 依赖 性 等 级 以 及 可 接受 的 系统 性 能 ， 那 么 开发 时 间 将 不 得 不 延 
长 而 且 预 算 将 会 增加 。 

很 多 糟糕 的 采购 决策 源 于 政治 而 非 技术 因素 。 高 级 管理 层 可 能 希望 拥有 更 多 的 控制 权 ， 
因此 要 求 整个 组 织 都 使 用 一 个 单一 的 系统 。 供 应 商 选 择 可 能 是 因为 他 们 与 公司 的 长 期 关系 而 
非 他 们 能 够 提供 最 好 的 技术 。 管 理 者 可 能 希望 保持 与 已 有 系统 的 兼容 性 ， 因 为 他 们 感觉 受到 
了 新 技术 的 威胁 。 正 如 第 20 章 所 讨论 的 ， 不 理解 所 需要 的 系统 的 人 反而 经 常 负责 采购 决策 。 
工程 问题 并 不 一 定 在 他 们 的 决策 过 程 中 扮演 主要 的 角色 。 


19.4 ”系统 开发 


系统 开发 是 一 个 复杂 的 过 程 ， 在 此 过 程 中 系统 的 各 部 分 元 素 分 别 被 开发 或 购买 ， 然 后 被 
集成 到 一 起 创造 出 最 终 的 系统 。 系 统 需求 是 概念 设计 和 开发 过 程 之 间 的 桥梁 。 概 念 设计 过 程 
中 对 业务 和 高 层 功能 性 及 非 功能 性 系统 需求 进行 了 定义 。 你 可 以 认为 这 是 开发 的 开始 ， 因 此 
如 图 19-1 所 示 ， 这 些 过 程 之 间 存 在 重合 。 一 旦 针对 系统 元 系 的 合同 已 经 达成 一 致 ， 就 要 进 
行 更 加 详细 的 需求 工程 。 

图 19-10 是 一 个 系统 开发 过 程 模 型 。 系 统 工程 过 程 通常 苯 循 一 种 与 第 2 章 所 介绍 的 “ 瀑 
布 ” 过 程 模型 相似 。 虽 然 瀑 布 模型 对 于 大 部 分 类 型 的 软件 开发 都 是 不 适合 的 ， 但 是 更 高 层次 
上 的 系统 工程 过 程 仍然 是 计划 驱动 的 ， 因 此 仍然 可 以 遵循 这 一 模型 。 

系统 工程 中 采用 计划 驱动 的 过 程 ， 因 为 系统 的 不 同 元 素 是 独立 开发 的 。 不 同 的 承包 商 
同时 在 各 个 独立 的 子 系统 上 进行 工作 。 因 此 ， 与 这 些 元 素 之 间 的 接口 必须 在 开发 开始 之 前 设 
计 好 。 对 于 包含 硬件 和 其 他 设备 的 系统 ， 开 发 过 程 中 的 变更 可 能 会 非常 昂贵 ， 甚 至 在 实践 中 
有 可 能 无 法 进行 任何 变更 。 因 此 ， 在 硬件 开发 或 构造 开始 之 前 充分 理解 系统 需求 是 非常 重 


要 的 。 
系统 部 闭 






子 系统 工程 


图 19-10 系统 开发 过 程 


系统 工程 中 最 令 人 困惑 的 方面 之 一 就 是 各 家 公司 使 用 不 同 的 术语 来 称呼 系统 工程 过 程 
的 各 个 阶段 。 有 时 ， 需 求 工 程 是 开发 过 程 的 一 部 分 ， 而 有 的 时 候 需 求 工 程 又 是 一 个 独立 的 活 
动 。 然 而 ， 在 概念 设计 之 后 有 几 个 基本 的 开发 活动 。 

1. 需求 工程 ， 是 一 个 精练 的 过 程 ， 即 对 概念 设计 中 所 识别 出 的 高 层 和 业务 需求 进行 细 
化 、 分 析 和 文档 化 描述 。 第 4 章 中 介绍 了 最 重要 的 需求 工程 活动 。 
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2. 体系 结构 设计 ， 与 需求 工程 过 程 显 著 存 在 重 倒 。 该 过 程 包括 建立 系统 的 总 体 体系 结 
构 、 识 别 不 同 的 系统 构件 并 理解 构件 之 间 的 关系 。 

3. 需求 划分 ， 关 注 确定 哪个 子 系统 (在 系统 体系 结构 中 所 识别 的 哪些 子 系统 ) 负责 实现 
系统 需求 。 需 求 可 能 必须 分 配给 硬件 、 软 件 或 运行 过 程 ， 并 确定 需求 实现 的 优先 级 。 理 想 情 
况 下 ， 应 该 为 各 个 子 系统 分 配 需求 ， 使 得 每 个 重要 需求 的 实现 都 不 需要 子 系统 之 间 的 协作 。 
然而 ， 这 并 不 总 是 可 行 的 。 在 此 阶段 ， 还 会 确定 运行 过 程 以 及 这 些 运行 过 程 如 何在 需求 实现 
中 使 用 。 

4. 子 系统 工程 ， 包 括 开 发 系统 的 软件 构件 、 配 置 成 品 硬件 和 软件 ,〈《 如 果 需 要 ) 设计 特 
定 目的 的 人 硬件、 定义 系统 的 运行 过 程 、 重 新 设计 基本 的 业务 过 程 。 

5. 系统 集成 ， 是 一 个 将 系统 元 素 放 到 一 起 来 创建 一 个 新 系统 的 过 程 。 只 有 到 此 时 系统 的 
清 现 特性 才 会 变 得 明显 。 

6. 系统 测试 ， 是 一 个 延伸 的 活动 ,在 此 过 程 中 对 整个 系统 进行 测试 ， 从 而 使 问题 被 骏 露 
出 来 。 在 此 过 程 中 ， 可 能 会 重新 进入 子 系统 工程 和 系统 集成 阶段 以 修复 所 发 现 的 问题 、 对 系 
统 性 能 进行 调 优 ， 以 及 实现 新 需求 。 系 统 测试 既 包 括 系 统 开发 者 进行 的 测试 又 包括 采购 该 系 
统 的 组 织 进行 的 验收 /用 户 测试 。 

7. 系统 部 署 ， 使 得 系统 能 够 被 用 户 所 使 用 ， 从 现 有 的 系统 中 进行 数据 转换 ， 并 且 与 环境 
中 的 其 他 系统 建立 通信 关系 。 该 过 程 在 系统 上 线 后 结束 ， 此 后 用 户 开 始 使 用 系统 来 支持 目 己 
的 工作 。 

虽然 总 体 过 程 是 规划 驱动 的 ， 需 求 开 发 和 系统 设计 过 程 却 不 可 避免 地 联系 到 了 一 起 。 需 
求 和 高 层 设计 是 同时 开发 的 。 现 有 系统 的 限制 可 能 会 限制 设计 的 选择 ， 这 些 选 择 可 以 在 需求 
中 进行 陈述 。 可 能 要 做 一 些 初始 的 设计 来 对 需求 工程 过 程 进 行 构造 和 组 织 。 随 着 设计 过 程 继 
续 进 行 ， 可 能 会 发 现 现 有 需求 中 的 问题 ， 而 新 的 需求 也 有 可 能 出 现 。 因 此 ， 可 以 将 这 些 相互 
联系 的 过 程 视 为 一 种 螺旋 结构 ， 如 图 19-11 所 示 。 


系统 需求 和 设计 文档 化 





图 19-11 需求 和 设计 的 螺旋 结构 


螺旋 结构 反映 了 在 现实 中 需求 和 设计 决策 相互 影响 ， 因 此 这 些 过 程 相互 交错 就 成 为 自然 
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了 。 从 中 心 位 置 开 始 ， 在 现实 中 螺旋 的 每 一 圈 都 可 能 会 为 需求 和 设计 增加 新 的 细节 。 随 着 体 
系 结构 中 的 子 系统 逐渐 被 识别 出 来 ， 这 些 子 系统 实现 系统 需求 的 职责 也 逐渐 得 到 确定 。 螺 旋 
中 有 些 圈 可 能 关注 需求 ， 其 他 一 些 则 关注 设计 。 有 时 需求 和 设计 过 程 中 收集 的 新 知识 意味 着 
问题 陈述 自身 也 必须 修改 。 

对 于 几乎 所 有 的 系统 而 言 ， 实 现 需 求 都 有 很 多 种 可 能 的 设计 。 这 些 设计 覆盖 了 硬件 、 软 
件 和 人 的 操作 的 很 多 不 同 的 组 合 。 你 所 选择 的 用 于 进一步 开发 的 方案 可 能 是 满足 需求 的 最 合 
适 的 技术 方案 。 然 而 ， 在 更 广阔 范围 内 的 组 织 和 政治 上 的 考虑 可 能 会 影响 方案 的 选择 。 例 
如 ， 一 个 政府 客户 可 能 会 倾向 于 在 系统 中 使 用 国内 而 不 是 国外 的 供应 商 ， 即 使 国内 产品 在 技 
术 上 差 一 些 。 

这 些 影 响 通常 会 在 螺旋 模型 的 评审 和 评估 阶段 产生 ， 在 此 阶段 中 设计 和 需求 可 能 会 被 
接受 或 否决 。 当 评审 确定 需求 和 高 层 设 计 都 已 足够 详细 使 得 子 系统 都 能 进行 规格 说 明和 设计 
了 ， 整 个 过 程 便 结束 了 。 

子 系统 工程 涉及 系统 硬件 和 软件 构件 的 设计 和 构造 。 对 于 某 些 类 型 的 系统 ， 例 如 宇宙 飞 
船 ， 所 有 的 硬件 和 软件 构件 都 可 以 在 开发 过 程 中 进行 设计 和 构造 。 然 而 ,在 大 多 数 系统 中 ， 
一 些 构件 是 通过 购买 而 非 开 发 来 获得 的 。 购 买 已 有 的 产品 通常 比 开发 特殊 目的 的 构件 要 便 
宜 。 然 而 ， 如 果 购 买 大 型 的 成 品系 统 ， 例 如 ER 系统， 那么 为 了 让 它们 在 运行 环境 中 正常 
使 用 而 进行 的 配置 工作 需要 很 高 的 成 本 。 

子 系统 通常 都 是 并 行 开发 的 。 当 遇 到 跨越 子 系统 边界 的 问题 时 ， 将 会 产生 一 个 系统 修改 
请 求 。 对 于 包括 大 量 硬件 工程 的 系统 而 言 ， 开 始 制造 之 后 进行 修改 通常 都 非常 昂贵 的 。 经 常 
需要 寻找 对 问题 进行 补偿 的 “变通 方案 ”。 这 些 变通 方案 通常 都 需要 修改 软件 以 实现 新 需求 。 

在 系统 集成 过 程 中 ,将 独立 开发 的 子 系统 放 到 一 起 来 搭建 一 个 完整 系统 。 这 一 集成 可 以 
通过 “大 爆炸 ” 式 的 方法 来 实现 ， 此 时 所 有 的 子 系统 在 同一 时 间 被 集成 到 一 起 。 然 而 ， 出 于 
技术 和 管理 上 的 原因 ， 一 次 集成 一 个 子 系统 的 增 量 集成 过 程 是 最 好 的 办 法 。 

1. 通常 无 法 对 所 有 子 系统 的 开发 进度 做 出 规划 ， 使 得 它们 在 同一 时 间 开 发 完成 。 

2. 增 量 集成 降低 了 错误 定位 的 开销 。 如 果 许 多 子 系统 同时 集成 到 一 起 ， 那 么 测试 过 程 中 
发 现 的 错误 可 能 来 自 于 这 些 子 系统 中 的 任何 一 个 。 如 果 将 单个 子 系统 与 一 个 已 经 可 以 工作 的 
系统 进行 集成 的 话 ， 那 么 发 生 的 错误 很 有 可 能 来 自 于 新 集成 的 子 系统 或 者 已 有 子 系统 与 新 子 
系统 之 间 的 交互 。 

越 来 越 多 的 系统 通过 集成 成 品 硬件 和 软件 应 用 系统 来 进行 构造 ， 实 现 与 集成 之 间 的 区 分 
越 来 越 模糊 。 有 些 情况 下 不 需要 开发 新 的 硬件 或 软件 。 从 根本 上 讲 ， 系 统 集成 是 系统 的 实现 
阶段 。 在 集成 过 程 之 中 以 及 之 后 都 会 对 系统 进行 测试 。 这 时 的 测试 应 该 关注 测试 构件 之 间 的 
接口 以 及 系统 的 整体 行为 。 测 试 不 可 避免 地 会 发 现 单个 子 系统 中 必须 要 进行 修复 的 问题 。 测 
试 需要 很 长 时 间 ， 系 统 开发 中 的 一 个 常见 问题 是 测试 团队 可 能 会 耗 尽 预算 或 时 间 。 这 个 问题 
可 能 导致 所 交付 的 系统 有 很 多 错误 ， 需 要 在 部 署 之 后 进行 修复 。 

由 于 对 其 他 子 系统 的 不 正确 的 假设 导致 的 子 系统 故障 经 常会 在 系统 集成 过 程 中 暴露 出 
来 。 这 可 能 会 导致 实现 不 同 子 系统 的 承包 商 之 间 发 生 争执 。 如 果 问 题 是 在 子 系统 交互 中 发 现 
的 ,那么 承包 商 可 能 会 就 哪个 子 系统 出 了 问题 进行 争辩 。 协 商 如 何 解决 问题 可 能 需要 花费 数 
周 或 数 月 。 

系统 开发 过 程 的 最 终 阶 段 是 系统 交付 和 部 署 。 软 件 在 硬件 上 进行 安装 并 准备 运行 。 这 可 
能 包括 更 多 的 系统 配置 以 反映 系统 使 用 时 所 处 的 本 地 环境 、 从 现 有 系统 中 进行 数据 转换 ， 以 
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及 准备 用 户 文档 和 培训 。 在 此 阶段 ， 你 可 能 还 必须 对 环境 中 的 其 他 系统 进行 重新 配置 以 保证 
新 系统 能 够 与 它们 实现 互 操作 。 

虽然 系统 部 署 原 则 上 很 直观 ， 但 是 经 常 比 所 预想 的 要 难 。 用 户 环 境 可 能 与 系统 开发 者 所 
预想 的 不 一 样 。 对 系统 进行 适应 性 调整 以 使 其 能 够 在 一 个 非 预 期 的 环境 下 工作 可 能 会 很 难 。 
已 有 的 系统 数据 可 能 需要 进行 大 量 的 清洗 ， 其 中 一 些 可 能 会 比 预想 的 需要 更 多 的 工作 量 。 与 
其 他 系统 的 接口 可 能 没有 进行 适当 的 文档 描述 。 你 可 能 会 发 现 所 规划 的 运行 过 程 因 为 与 其 他 
系统 的 运行 过 程 不 兼容 而 必须 改变 。 用 户 培 训 经 常 很 难 安排 ， 从 而 导致 用 户 在 开始 使 用 系统 
后 无 法 充分 使 用 系统 的 能 力 。 系 统 部 署 可 能 会 因此 比 预 期 花费 更 长 的 时 间 和 更 多 的 成 本 。 


19.5 ”系统 运行 和 演化 


运行 过 程 是 指 按照 系统 设计 者 所 设想 的 方式 使 用 系统 时 所 包含 的 过 程 。 例 如 ， 一 个 空中 
交通 控制 系统 的 操作 人 员 在 飞机 进入 和 离开 空域 、 飞 机 必须 改变 高 度 或 速度 、 发 生 紧 急 状 况 
等 情况 下 遵循 特定 的 过 程 。 对 于 新 系统 而 言 ， 这 些 运 行 过 程 必 须 在 系统 开发 过 程 中 进行 定义 
和 描述 。 操 作 人 员 必 须 进行 培训 ， 其 他 工作 过 程 必须 进行 适应 性 调整 以 使 新 系统 能 够 得 到 有 
效 使 用 。 未 发 现 的 问题 可 能 会 在 这 个 阶段 被 发 现 ， 因 为 系统 规格 说 明 可 能 包含 错误 或 遗漏 。 
即使 系统 运行 与 规格 说 明 一 致 ， 系 统 的 功能 可 能 并 不 满足 真正 的 运行 需要 。 结 果 ， 操 作 人 员 
可 能 无 法 按照 设计 者 所 设想 的 那样 使 用 系统 。 

虽然 运行 过 程 的 设计 者 可 能 已 经 是 在 广泛 的 用 户 调研 基础 上 进行 的 过 程 设 计 ， 但 是 在 
用 户 适 应 新 系统 并 且 探 索 如 何 使 用 系统 的 实践 过 程 中 总 是 有 一 段 “驯化 ”期 ( Stewart and 
Williams 2005 )。 昌 然 用 户 界面 设计 很 重要 ,但 是 一 些 研究 表明 随 着 时 间 推 移 用 户 可 以 逐渐 
适应 复杂 的 界面 。 随 着 用 户 经 验 的 不 断 积 累 ， 他 们 更 倾向 于 以 一 种 快捷 的 方式 使 用 系统 而 不 
是 追求 容易 使 用 。 这 意味 着 设计 系统 时 不 应 该 只 是 迎合 缺少 经 验 的 用 户 ， 而 应 该 让 用 户 界 面 
能 够 适应 有 经 验 的 用 户 。 

一 些 人 认为 系统 操作 人 员 是 系统 问题 的 根源 之 一 ， 因 此 应 该 转向 能 够 将 人 的 参与 最 小 化 
的 自动 化 系统 。 这 种 认识 有 两 个 问题 。 

1. 这 很 有 可 能 会 增加 系统 的 技术 复杂 性 ， 因 为 系统 设计 必须 应 对 所 有 可 以 预见 的 失效 模 
式 。 这 增加 了 构造 系统 所 需 的 成 本 和 时 间 。 此 外 还 需要 考虑 引入 人 来 处 理 非 预期 的 失效 。 

2. 人 具有 很 强 的 适应 性 ， 可 以 处 理 各 种 问题 以 及 非 预 期 的 情形 。 因 此 ， 当 进行 系统 规格 
说 明和 设计 时 ， 不 需要 预计 所 有 可 能 出 错 的 地 方 。 

人 具有 独特 的 能 力 可 以 有 效应 对 非 预期 的 情形 ， 即 使 他 们 对 于 这 些 非 预期 的 事件 或 系统 
状态 并 没有 直接 经 验 。 因 此 ， 当 出 现 问题 的 时 候 ， 系 统 操作 人 员 经 常 可 以 通过 找到 变通 的 方 
法 以 及 以 非 标准 的 方式 使 用 系统 来 实现 问题 恢复 。 操 作 人 员 还 可 以 使 用 他 们 的 本 地 知识 来 调 
整 和 改进 过 程 。 通 常 ， 实 际 的 运行 过 程 与 系统 设计 者 所 设想 的 过 程 并 不 相同 。 

因此 ， 应 该 将 运行 过 程 设计 得 灵活 并 具有 适应 性 。 运 行 过 程 的 限制 不 应 该 太 多 ， 不 应 该 
要 求 按照 固定 的 顺序 完成 相关 操作 ， 而 系统 软件 不 应 该 依赖 于 所 遵循 的 特定 过 程 。 操 作 人 员 
通常 会 根据 自己 所 知 的 在 现实 情况 下 什么 可 行 什么 不 可 行 来 对 过 程 进行 改进 。 

当 系 统 投入 运行 后 可 能 出 现 的 一 个 问题 是 新 系统 与 老 系统 一 起 运行 。 这 可 能 导致 硬性 的 
不 兼容 问题 ， 或 者 难以 在 系统 之 间 进 行 数 据 传 输 。 其 他 更 加 微妙 的 问题 也 可 能 会 出 现 ， 因 为 
不 同 的 系统 的 用 户 界面 不 同 。 引 入 一 个 新 系统 可 能 导致 操作 人 员 的 差错 率 提 高 ， 因 为 操作 人 
员 可 能 会 将 用 户 界面 命令 用 到 错误 的 系统 上 。 
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19.5.1 系统 演化 


大 型 复杂 系统 通常 生存 周期 都 很 长 。 复 杂 的 硬件 /软件 系统 可 以 持续 使 用 超过 20 年 ， 
即使 最 初 的 硬件 和 软件 技术 已 经 被 淘汰 了 。 这 主要 是 因为 几 个 方面 的 原因 ， 如 图 19-12 
所 示 。 


一 个 系统 工程 项 目的 成 本 可 能 高 达 几 千 万 甚至 几 亿美 元 。 只 有 
系统 能 够 持续 多 年 为 组 织 提供 价值 才能 证 明 这 些 成 本 的 正当 性 


随 着 业务 变化 和 重组 以 关注 核心 活动 ， 他 们 经 常 失去 工程 专业 
专业 知识 的 丢失 | 知识 。 这 可 能 意味 着 他 们 缺少 为 一 个 新 系统 制定 需求 规格 说 明 的 


能 力 


ee 更 换 一 个 大 型 系统 的 成 本 很 高 。 更 换 已 有 系统 只 有 当 更 换 后 与 
已 有 系统 相 比 可 以 显著 节约 成 本 才 会 具有 说 服 力 


ye 如 果 系 统 工程 的 总 体 预算 是 固定 的 那么 将 预算 花 在 其 他 业务 
领域 的 新 系统 上 的 投资 回报 可 能 会 比 更 换 已 有 系统 要 高 


系统 是 业务 运行 的 固有 部 分 ， 用 新 系统 替换 已 有 系统 的 风险 很 
难 让 人 接受 。 新 系统 的 危险 是 其 中 的 硬件 、 软 件 和 运行 过 程 都 有 
可 能 出 问题 。 这 些 问题 对 于 业务 造成 影响 的 潜在 损失 可 能 会 很 高 ， 
以 至 于 人 们 不 愿意 承受 系统 更 换 的 风险 


系统 依赖 系统 之 间 相 互 依赖 ， 因 此 更 换 其 中 一 个 系统 可 能 会 导致 其 他 系 
in 统 的 大 范围 变化 


变更 的 风险 





图 19-12 影响 系统 生存 周期 的 因素 


在 整个 生存 期 之 中 ， 大 型 复杂 系统 不 断 变化 和 演化 以 纠正 原始 系统 需求 中 的 错误 并 且 
实现 新 出 现 的 需求 。 系 统 中 的 计算 机 很 可 能 被 替换 为 新 的 更 快 的 机 器 。 使 用 系统 的 组 织 可 能 
会 进行 重组 并 以 不 同 的 方式 使 用 系统 。 系 统 的 外 部 环境 可 能 会 变化 ， 迫 使 系统 发 生变 化 。 因 
此 ， 演 化 是 一 种 与 正常 的 系统 运行 过 程 相伴 随 的 一 个 过 程 。 系 统 演化 包括 重新 进入 开发 过 程 
来 对 系统 的 硬件 、 软 件 和 运行 过 程 进行 修改 和 扩展 。 

系统 演化 与 软件 演化 (在 第 9 章 中 介绍 ) 一 样 ， 成 本 很 高 ， 这 是 因为 以 下 几 个 原因 。 

1. 所 提出 的 变更 必须 非常 仔细 地 从 业务 和 技术 两 方面 进行 分 析 。 变 更 必须 有 利于 系统 的 
目标 并 且 不 应 该 仅仅 是 由 技术 驱动 的 。 

2. 因为 子 系统 从 来 就 不 是 完全 独立 的 ， 对 一 个 子 系统 的 修改 可 能 会 产生 副作用 ， 从 而 对 
其 他 子 系统 的 性 能 或 行为 带 来 负面 影响 。 因 此 ， 这 些 子 系统 后 续 可 能 需要 进行 修改 。 

3. 最 初 的 设计 决策 的 原因 经 常 没有 记录 下 来 。 负 责 系统 演化 的 人 不 得 不 自己 找 出 某 个 设 
计 决 策 背 后 的 原因 。 

4. 随 着 系统 使 用 时 间 越 来 越 长 ， 系 统 结构 由 于 变更 而 逐渐 老化 ， 进 一 步 进行 变 更 的 成 本 
因此 也 越 来 越 高 。 

使 用 了 很 多 年 的 系统 在 过 时 的 硬件 和 软件 技术 上 经 常 是 比较 可 靠 的 。 这 些 “遗留 系统 ” 
(在 第 9 章 中 介绍 ) 是 使 用 过 时 的 技术 开发 的 基于 计算 机 的 社会 技术 系统 。 然 而 ， 它 们 不 仅 
仅 包含 遗留 硬件 和 软件 。 它 们 还 依赖 于 遗留 的 过 程 和 规程 一 一 老 的 做 事情 的 方式 ， 这 些 方式 
很 难 变 化 ， 因 为 它们 依赖 于 遗留 软件 。 对 系统 某 个 部 分 的 变动 不 可 避免 地 会 引起 对 其 他 构件 
的 变动 。 
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在 系统 演化 过 程 中 对 系统 的 变更 经 常 是 问题 和 漏洞 的 来 源 。 如 果实 施 变更 的 人 不 是 开发 
系统 的 人 ， 那 么 他 们 可 能 会 不 了 解 某 个 设计 决策 的 目的 是 为 了 可 依赖 性 和 信息 安全 。 因 此 ， 
他 们 可 能 会 变更 系统 ， 丢 失 系统 最 初 开发 时 有 意 实 现 的 安全 防护 。 而 且 ， 由 于 测试 十 分 员 
贯 ， 不 可 能 对 每 一 个 系统 变更 都 进行 完整 的 重新 测试 。 因 此 ， 测 试 可 能 无 法 发 现 这 些 变 更 所 
导致 的 引发 其 他 构件 出 错 的 副作用 。 


要 点 


© 系统 工程 关注 与 复杂 社会 技术 系统 的 需求 规约 、 购 严 、 设 计 和 测试 相关 的 所 有 方面 。 
社会 技术 系统 包括 计算 机 硬件 、 软 件 和 人 ， 并 且 位 于 一 个 组 织 之 中 。 这 些 系统 被 设 
计 用 来 支持 组 织 或 业务 目标 和 上 的 。 

一 个 系统 的 涌现 特性 是 该 系统 作为 整体 的 特性 ， 不 是 构成 系统 的 构件 的 特性 。 这 些 
特性 包括 性 能 、 可 靠 性 、 可 用 性 、 安 全 性 和 信息 安全 等 。 

基本 的 系统 工程 过 程 包括 概念 系统 设计 、 系 统 采购 、 系 统 开发 、 系 统 运行 。 

概念 系统 设计 是 一 个 关键 活动 ， 在 此 过 程 中 会 开发 高 层 系统 需求 以 及 关于 系统 运行 
的 愿景 。 

系统 采购 包括 确定 购买 什么 系统 以 及 谁 来 作为 系统 供应 商 的 所 有 活动 。 成 品 应 用 系 
统 、 可 配置 的 商用 成 品系 统 以 及 定制 化 开发 的 系统 使 用 不 同 的 采购 过 程 。 

系统 开发 过 程 包括 需求 规格 说 明 、 设 计 、 构 造 、 集 成 和 测试 。 

系统 投入 使 用 后 ， 系 统 的 运行 过 程 以 及 系统 目 身 不 可 避免 地 会 发 生变 化 以 反映 业务 
需求 以 及 系统 环境 的 变化 。 


阅读 推荐 

《 Airport 95: Automated Baggage System 》 是 一 个 精彩 、 易 读 的 案例 研究 ， 包 括 系 统 
工程 项 目 可 能 出 什么 问题 以 及 软件 是 如 何 造 成 更 大 范围 的 系统 失效 的 。( ACM Software 
Engineering Notes, 21, March 1996 ) http://doi.acm.org/10.1145/227531.227544 

《 Fundamentals of Systems Engineering 》 是 美国 国家 航空 和 宇航 局 系统 工程 手册 中 的 
引言 章节 ， 其 中 给 出 了 空间 系统 的 系统 工程 过 程 的 概述 。 虽 然 这 些 系统 基本 都 是 技术 性 系 
统 ， 但 也 有 一 些 需 要 考虑 的 社会 技术 问题 。 其 中 ， 可 依赖 性 显然 极其 重要 。(NASA Systems 
Engineering Handbook, NASA-SP 2007-6105, 2007 ) http://ntrs.nasa.gov/archive/nasa/casi. 
ntrs.nasa.gov/20080008301 2008008500.pdf 

《 The LSCITS Socio-technical Systems Handbook 》 这 本 手册 以 一 种 容易 理解 的 方式 介绍 
了 社会 技术 系统 ， 并 且 提 供 了 一 些 更 加 详细 地 介绍 社会 技术 问题 的 论文 的 访问 方式 。( 一 系 
列 不 同 的 作者 ，2012 ) http://archive.cs.st-andrews.ac.uk/STSE-Handbook 

《 Architecting systems:Concepts, Principles and Practice 》 是 一 本 与 众 不 同 、 让 人 眼前 一 
亮 的 系统 工程 著作 ， 不 像 许 多 “传统 ”的 系统 工程 著作 那样 主要 关注 硬件 。 作 者 是 一 个 很 有 
经 验 的 系统 工程 师 ， 他 从 大 量 的 系统 中 吸收 有 用 的 例子 ， 并 且 认 识 到 了 社会 技术 问题 与 技术 
问题 一 样 重要 。(H. Sillitto, College Publications, 2014 ) 


网 站 


本 草 的 PPT: http://software-engineering-book.com/slides/chap 1 9/ 
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支持 视频 的 链接 : http://software-engineering-book.com/videos/systems-engineering/ 
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19,1 
192 


19.3 
19.4 


19.5 


19.6 


19.7 


19.8 
19.9 
19.10 


给 出 两 个 由 复杂 的 社会 技术 系统 支持 的 政府 职能 的 例子 ， 解 释 为 什么 在 可 预见 的 未 来 
这 些 职能 无 法 完全 自动 化 。 

为 什么 基于 计算 机 的 系统 所 安装 的 环境 可 能 会 对 系统 产生 未 预期 的 导致 系统 失效 的 影 
响 ? 

为 什么 无 法 从 系统 构件 的 属性 推测 一 个 复杂 系统 的 涌现 特性 ? 

什么 是 “非常 规 问题 ”? 解释 为 什么 要 把 一 个 国家 医疗 档案 系统 的 开发 视 为 一 个 “ 非 
常规 问题 ”。 

为 欧洲 博物 馆 联 合 会 开发 一 个 多 媒体 虚拟 博物 馆 系统 ， 提 供 古 希腊 的 虚拟 体验 。 该 系 
统 应 当 通 过 Web 浏览 器 为 用 户 提 供 观 看 古 希 腊 3D 模型 的 手段 ， 还 要 支持 沉浸 式 的 虚 
拟 现实 体验 。 为 这 样 的 系统 开发 一 个 概念 设计 ， 突 出 其 中 的 关键 特性 以 及 基本 的 高 层 
需求 。 

为 什么 需要 保持 灵活 性 ， 并 在 采购 大 型 成 品 软件 系统 (例如 ERP 系统 ) 时 对 系统 需求 进 
行 适 应 性 调整 ? 通过 网 络 搜索 查找 关于 此 类 系统 失效 的 讨论 ， 并 且 从 社会 技术 的 角度 解 
释 为 什么 会 发 生 这 些 失 效 。 下 面 是 一 个 可 能 的 起 点 : http://blog.360cloudsolutions.com/ 
blo3g/bid/94028/ (6 个 ERP 系统 失效 典型 案例 )。 

为 什么 系统 集成 是 系统 开发 过 程 的 一 个 非常 重要 的 部 分 ”列举 3 个 可 能 导致 系统 集成 
出 现 困 难 的 社会 技术 问题 。 

为 什么 遗留 系统 对 于 业务 运行 通常 很 重要 ? 

针对 将 系统 工程 视 为 与 电子 工程 或 软件 工程 一 样 的 职业 有 哪些 正面 和 反面 的 论据 ? 
你 是 一 个 参与 某 财 务 系 统 开发 的 工程 师 。 在 安装 过 程 中 ， 你 发 现 该 系统 将 会 导致 很 
多 人 失业 。 该 项 目 中 相关 的 人 拒绝 你 访问 完成 系统 安装 所 需 的 一 些 重要 信息 。 作 为 
一 个 系统 工程 师 ， 你 应 该 在 何 种 程度 上 置身 其 中 ? 按照 合同 完成 系统 安装 是 你 的 职 
责 吗 ?你 应 该 简单 地 放弃 安装 直到 采购 单位 解决 问题 吗 ? 
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系统 之 系统 





目标 


本 章 的 目标 是 介绍 系统 之 系统 的 概念 ， 并 讨论 构建 复杂 的 软件 系统 之 系统 的 挑战 。 阅 读 
完 本 章 后 ， 你 将 : 

e 理解 系统 之 系统 的 意义 以 及 系统 之 系统 与 独立 系统 之 间 的 区 别 ; 

e 理解 系统 之 系统 的 分 类 以 及 不 同类 型 的 系统 之 系统 之 间 的 区 别 ; 

o 理解 为 何 基于 还 原 论 的 传统 软件 工程 方法 不 适用 于 系统 之 系统 的 开发 ; 

© 了 解 系统 之 系统 工程 过 程 以 及 系统 之 系统 的 体系 结构 模式 。 

我 们 需要 软件 工程 是 因为 我 们 创建 了 庞大 且 复 杂 的 软件 系统 。 软 件 工程 的 规范 出 现在 
20 世纪 60 年 代 ， 因 为 那 时 构建 大 型 软件 系统 的 初步 尝试 多 以 失败 告终 。 创 建 软件 的 花费 比 
预期 的 要 多 ， 耗 时 比 计 划 的 要 长 ， 软 件 本 身 也 常常 并 不 可 靠 。 为 了 解决 这 些 问 题 ， 人 们 开发 
了 一 系列 非常 成 功 的 软件 工程 技巧 和 技术 。 现 在 我 们 可 以 构建 比 20 世纪 70 年 代 更 加 庞大 、 
更 加 复杂 、 更 加 可 靠 也 更 加 有 效 的 软件 系统 。 

然而 ,我 们 还 未 “解决 ”大 型 系统 工程 中 的 问题 ， 软 件 项 目的 失败 仍 很 常见 。 例 如 ， 美 
国 和 英国 的 政府 医疗 保健 系统 实现 过 程 中 都 存在 严重 的 问题 以 及 延期 。 这 些 问 题 的 根源 在 
于 ， 相 比 20 世纪 60 年代， 现在 人 们 创建 的 系统 要 更 庞大 也 更 复杂 。 人 们 在 和 尝试 创建 这 些 
“超大 系统 ”时 使 用 的 方法 和 技术 并 不 是 为 此 设计 的 。 在 本 章 后 面 的 部 分 将 会 讨论 ， 目 前 的 
软件 工程 技术 并 不 能 应 对 许多 现在 的 系统 中 固有 的 复杂 度 。 

从 软件 工程 的 概念 被 提出 以 来 ， 软 件 系统 的 大 小 已 经 增加 了 很 多 。 现 在 的 大 型 系统 可 
能 比 20 世纪 60 年 代 的 所 谓 “ 大 型 ”系统 要 大 成 百 上 千 倍 。2006 年 ，Northdrop 及 其 同僚 
(Northrop et al. 2006) 认为 我 们 很 快 就 会 看 到 拥有 超过 10 亿 行 代 码 的 系统 。 在 这 一 预测 过 
去 近 10 年 后 的 今天 ， 这样 的 系统 已 经 存在 。 

当然 ,我们 并 不 是 从 零 开 始 写 出 10 亿 行 代码 。 如 第 15 章 中 论述 的 ， 软 件 工程 真正 的 成 
功 经 验 始 终 是 软件 复 用 。 正 是 由 于 我 们 开发 了 跨 应 用 和 跨 系统 的 软件 复 用 方法 ， 大 型 系统 开 
发 才 成 为 可 能 。 现 在 和 未 来 的 超大 型 系统 将 会 通过 整合 现 有 的 来 自 不 同 供应 商 的 系统 以 创建 
系统 之 系统 来 构建 。 

何谓 系统 之 系统 (Systems of Systems, SoS) ? 正如 Hitchens 所 说 (Hitchins 2009 )， 从 
一 般 系统 的 角度 来 讲 ， 系 统 与 系统 之 系统 间 并 无 任何 区 别 ， 它 们 都 有 消 现 特性 ， 可 以 由 多 个 
子 系统 构成 。 然 而 ， 从 软件 工程 的 角度 来 讲 ， 笔 者 认为 两 者 间 有 一 个 区 别 ， 这 个 区 别 更 多 是 
社会 技术 上 的 而 非 技 术 上 的 ， 认 识 到 这 一 区 别 是 十 分 有 意义 的 。 

系统 之 系统 是 包含 两 个 或 更 多 独立 管理 的 单元 的 系统 。 

这 意味 着 系统 之 系统 中 并 不 存在 一 个 对 系统 各 个 部 分 进行 管理 的 管理 者 ， 系 统 的 不 同 部 
分 分 别 对 应 不 同 的 管理 和 控制 的 策略 和 规则 。 正 如 我 们 将 看 到 的 ,分 布 式 的 管理 和 控制 对 系 
统 总 体 的 复杂 度 有 深远 的 影响 。 
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上 面 对 系 统 之 系统 的 定义 并 没有 提 到 系统 之 系统 的 大 小 。 包 含 不 同 提 供 商 提供 的 服务 的 
较 小 的 系统 也 是 系统 之 系统 。 一 些 系统 之 系统 工程 中 的 问题 对 这 种 小 型 系统 也 适用 ,但 如 果 
系统 的 组 成 部 分 本 身 是 大 型 系统 时 ， 就 会 遇 到 真正 的 挑战 。 

系统 之 系统 领域 的 大 多 数 工 作 来 源 于 国防 工业 。20 世纪 末 ， 随 着 软件 系统 容量 的 增加 ， 
整合 并 控制 原先 独立 的 军事 系统 (如 海军 和 陆 基 的 防空 和 有 反 舰 系统 ) 成 为 可 能 。 这 种 系统 可 
能 包含 几 十 个 或 几 百 个 独立 的 单元 ， 软 件 系统 负责 跟踪 记录 这 些 单元 并 向 控制 器 提供 信息 ， 
使 它们 可 以 以 最 有 效 的 方式 部 署 。 

这 类 系统 之 系统 已 经 超出 了 软件 工程 书籍 的 范畴 。 相 反 ， 本 书 只 关注 一 类 系统 之 系统 ， 
其 系统 单元 是 软件 系统 而 非 飞 机 、 军 用 车 辆 或 雷达 之 类 的 硬件 。 系 统 之 系统 通过 整合 独立 的 
软件 系统 来 创建 ， 在 本 书写 作 时 ， 多 数 软 件 系 统 之 系统 只 包含 少量 的 独立 系统 ， 系 统 之 系统 
的 每 个 组 成 部 分 通常 是 一 个 独立 的 复杂 系统 。 然 而 ， 有 预测 称 ， 在 未 来 几 年 内 ， 随 着 越 来 越 
多 的 软件 被 整合 以 利用 它们 提供 的 功能 ， 软 件 系 统 之 系统 的 大 小 可 能 显著 增长 。 

软件 系统 的 系统 之 系统 的 样 例 有 : 

1. 云 管理 系统 ， 负 责 处 理 本 地 私有 云 管理 和 服务 咒 公 有 云 (如 亚马逊 和 微软 ) 管理 ; 

2. 在 线 银 行 系统 ， 负 责 处 理 借贷 请 求 并 与 信用 调查 机 构 提 供 的 征 信 系统 相连 以 检查 申请 
人 信用 状况 。 

3. 应 急 信息 系统 ， 整 合 来 自警 方 、 救 护 机 构 、 火 警 和 海岸 警卫 队 的 处 理 民间 紧急 状况 
(如 洪水 和 大 规模 事故 ) 的 可 用 资源 信息 。 

4. 本 书 第 1 章 介 绍 的 数字 学 习 环 境 (iLearn)。 该 系统 通过 整合 多 个 独立 软件 系统 ， 如 
微软 Office 365、 虚 拟 学 习 环 境 (如 Moddle)、 模 拟 模 型 工具 和 新 闻 档 案 之 类 的 内 容 ， 来 提 
供 一 系列 学 习 支 持 。 

Maier (Maier 1998 ) 指出 了 系统 之 系统 的 5 个 基本 特征 。 

1. 单元 的 操作 独立 性 。 系 统 的 各 个 部 分 不 仅 是 系统 构件 ， 也 可 以 独立 地 作为 有 用 的 系统 
运转 。 系 统 之 系统 内 的 各 个 子 系统 独立 发 展 。 

2. 单元 的 管理 独立 性 。 系 统 的 各 个 部 分 是 由 不 同 的 组 织 或 一 个 更 大 组 织 的 不 同 部 分 所 
“拥有 ”和 管理 的 。 因 此 ， 这 些 系统 的 管理 和 演化 会 使 用 不 同 的 规则 和 策略 。 正 如 之 前 提 到 
的 ， 这 是 区 别 系统 之 系统 与 系统 的 关键 因素 。 

3. 演化 式 开发 。 系 统 之 系统 不 是 在 某 一 个 项 目 中 开发 的 ， 而 是 随 着 时 间 从 组 成 它们 的 系 
统 演化 而 来 的 。 

4. 涌现 。 系 统 之 系统 具有 涌现 特性 ， 这 些 特性 只 有 在 系统 之 系统 被 创建 后 才 会 出 现 。 当 
然 ， 如 第 19 章 所 述 ， 涌现 是 所 有 系统 的 一 个 特性 ,但 这 一 特性 在 系统 之 系统 中 尤为 重要 。 

5. 单元 的 地 理 分 布 。 系 统 之 系统 的 单元 经 常 在 地 理 上 分 布 于 不 同 的 组 织 。 这 在 技术 上 十 
分 重要 ， 因 为 这 意味 着 一 个 在 外 部 管理 的 网 络 是 系统 之 系统 的 重要 组 成 部 分 。 从 管理 上 讲 ， 
这 一 点 也 很 重要 ， 因 为 这 增加 了 相关 的 系统 在 做 出 系统 管理 决定 时 相互 交流 的 难度 ， 并 增加 
了 维持 系统 安全 的 难度 。” 

本 节 在 Maier 提出 的 列表 的 基础 上 增加 以 下 两 点 与 软件 系统 之 系统 特别 相关 的 两 点 
特性 。 

1. 数据 密集 。 软 件 系统 之 系统 通常 依赖 并 且 管 理 数 量 庞 大 的 数据 ， 这 些 数据 在 大 小 上 可 
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能 比 系统 组 成 本 身 的 代码 要 大 数 十 甚至 数 百 倍 。 

2. 异 构 性 。 软 件 系统 之 系统 中 的 不 同 子 系统 未 必 是 用 相同 的 编程 语言 和 设计 方法 开发 
的 ， 这 是 软件 技术 快速 演化 所 导致 的 。 当 开发 方法 和 工具 出 现 新 的 、 完 善 的 版 本 时 ， 软 件 公 
司 也 经 常会 进行 更 新 。 在 一 个 大 型 系统 之 系统 20 年 的 生命 周期 中 ， 使 用 的 技术 可 能 改变 4 
次 或 5 次 。 

正如 20.1 节 中 所 述 ， 这 些 特性 意味 着 系统 之 系统 会 比 那 些 只 有 单一 所 有 者 和 管理 者 的 
系统 复杂 得 多 ， 我 们 无 法 用 目前 的 软件 工程 方法 和 技术 来 应 对 这 样 的 复杂 度 。 因 此 ， 我 们 目 
前 开发 的 超大 型 和 非常 复杂 的 软件 系统 无 可 避免 地 会 出 现 问题 。 我 们 需要 一 套 全 新 的 软件 系 
统 之 系统 工程 的 抽象 、 方 法 和 技术 。 

许多 作者 都 认识 到 了 这 一 需求 。 在 英国 ， 一 份 发 表 于 2004 年 的 报告 (Royal Academy of 
Engineering 2004 ) 导致 了 一 次 对 大 型 复杂 IT 系统 的 国家 级 研究 和 培训 行动 (Sommerville et 
al. 2012 ) 。 在 美国 ， 软 件 工程 研究 所 在 2006 年 发 布 了 对 超大 型 系统 的 报告 ( Northrop et al. 
2006 ) 。 在 系统 工程 界 ，Stevens (Stevens 2010) 论述 了 构建 交通 、 医 疗 和 国防 领域 中 的 “大 
型 系统 ”时 的 问题 。 


20.1 ARBRE 


在 引言 中 曾 提 到 ， 构 建 软件 系统 之 系统 时 出 现 工程 问题 的 根源 是 这 些 系统 固有 的 复杂 
度 。 在 本 节 中 ， 将 解释 系统 复杂 度 的 基本 原理 ， 并 论述 软件 系统 之 系统 中 出 现 的 不 同类 型 的 
复杂 度 。 

所 有 系统 都 是 由 互相 关联 的 部 分 (单元) 组 成 的 。 例 如 ， 一 个 程序 的 部 分 可 能 是 对 象 ， 
每 一 个 对 象 的 部 分 可 能 是 常量 、 变 量 和 方法 。 关 联 关 系 的 例子 包括 “调用 ” (方法 A 调用 方 
E B) “HRA” (对象 X 继承 对 象 Y 的 方法 和 属性 ) 和 “从 属于 ”( 方 法 A 从 属于 对 象 X)。 

所 有 系统 的 复杂 度 都 取决 于 系统 单元 之 间 关 联 关系 的 数量 和 类 型 。 图 20-1 展示 了 两 个 
系统 的 例子 。 系 统 (a) 是 一 个 相对 简单 的 系统 ， 其 单元 间 只 有 少量 关联 关系 。 与 之 相对 的 是 
系统 (b)， 其 单元 数量 虽然 与 系统 (a) 一 样 ， 但 由 于 它 具 有 更 多 的 单元 间 关 联 关 系 ， 其 复杂 
度 也 更 高 。 


系统 (a) 系统 (b) 
图 20-1 简单 系统 与 复杂 系统 


关联 关系 的 类 型 也 会 影响 系统 整体 的 复杂 度 。 静 态 关 联 关系 是 设计 好 的 ， 可 以 从 系统 的 
静态 描述 中 分 析出 来 。 因 此 ， 软 件 系统 中 “使 用 ”这 一 关联 关系 是 静态 关联 关系 。 不 论 是 通 
过 软件 源 代 码 还 是 通过 系统 的 UML 模型， 都 可 以 分 析出 任意 一 个 系统 构件 是 如 何 使 用 其 他 
构件 的 。 
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动态 关联 关系 是 系统 运行 时 存在 的 关联 关系 。“ 调 用 ”是 动态 关联 关系 ， 因 为 在 所 有 含 
有 让 语句 的 系统 中 ， 你 无 法 确定 一 个 方法 是 否 会 调用 男 一 个 方法 ， 这 取决 于 系统 运行 时 的 
输入 。 动 态 关联 关系 更 难以 分 析 ， 因 为 除了 需要 系统 源 代 码 之 外 ， 还 需要 知道 系统 输入 和 使 
用 的 数据 。 

除了 系统 复杂 度 ， 我 们 还 需要 考虑 系统 的 开发 过 程 和 系统 投入 使 用 后 的 维护 过 程 的 复杂 
度 。 图 20-2 描绘 了 这 些 过 程 以 及 它们 与 已 开发 的 系统 之 间 的 关系 。 


生产 过 程 管理 过 程 


产生 管理 


复杂 系统 
图 20-2 ”生产 和 管理 过 程 


随 着 系统 大 小 增加 ， 系 统 需 要 的 生产 和 管理 过 程 也 更 加 复杂 。 复 杂 过 程 本 身 也 是 复杂 系 
统 ， 它 们 难以 理解 ， 并 且 可 能 有 一 些 意 想 不 到 的 涌现 特性 。 复 杂 过 程 比 简单 过 程 耗 时 更 长 ， 
在 系统 开发 时 需要 更 多 的 文档 以 及 相关 人 员 和 组 织 间 的 协作 。 生 产 过 程 的 复杂 度 是 项 目 出 问 
题 的 主要 原因 之 一 ， 它 会 导致 项 目 无 法 及 时 交付 或 是 超出 预算 。 因 此 ， 大 型 系统 始终 存在 开 
销 和 时 间 超 出 限度 的 风险 。 

复杂 度 对 软件 工程 至 关 重 要 ， 因 为 它 是 影响 系统 可 读 性 和 可 变性 的 主要 因素 。 系 统 越 复 
杂 ， 理 解 和 分 析 系 统 也 就 越 困 难 。 由 于 复杂 度 与 系统 中 单元 之 间 关 联 关系 的 数量 呈正 相关 ， 
大 型 系统 也 就 无 可 避免 地 要 比 小 型 系统 更 复杂 。 随 着 系统 复杂 度 的 提升 ， 系 统 中 单元 之 间 关 
联 关系 的 数量 也 更 多 ， 对 系统 中 某 个 部 分 的 改变 导致 对 系统 其 他 某 处 产生 意 想不到 的 影响 的 
可 能 性 也 会 增加 。 

与 社会 技术 系统 相关 的 几 种 不 同类 型 的 复杂 度 包 括 : 

1. 系统 的 技术 复杂 度 源 于 系统 自身 的 不 同 构件 之 间 的 关联 关系 。 

2. 系统 的 管理 复杂 度 源 于 系统 与 其 管理 者 之 间 的 关联 关系 (也 就 是 说 ,管理 者 能 改变 系 
统 中 的 什么 东西 ) 和 系统 各 部 分 的 管理 者 之 间 的 关联 关系 。 

3. 系统 的 治理 复杂 度 取决 于 影响 系统 的 法 律 、 规 定 和 政策 之 间 的 关联 关系 以 及 为 系统 负 
责 的 组 织 内 部 的 决策 过 程 之 间 的 关联 关系 。 由 于 系统 的 不 同 部 分 可 能 属于 不 同 国家 和 不 同 组 
织 ， 系 统 之 系统 内 的 各 个 系统 可 能 应 用 不 同 的 法 律 、 规 定 和 政策 。 
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， ”管理 复杂 度 和 治理 复杂 度 有 一 定 相 关 性 ， 但 并 不 完全 一 致 。 管 理 复杂 度 是 一 个 操作 问 
题 一 一 对 系统 可 以 做 什么 ， 不 可 以 做 什么 。 治 理 复杂 度 与 影响 系统 的 组 织 中 更 高 层 的 决策 过 
程 有 关 ， 这 些 决策 过 程 受 国 家 和 国际 法 律 法 规约 束 。 

例如 ， 一 个 公司 决定 允许 其 员工 使 用 他 们 上 自己 的 移动 设备 访问 其 系统 ， 而 不 必 使 用 公 
司 提供 的 笔记 本 电脑 。 这 个 决定 本 和 喘 是 一 个 治理 决定 ， 因 为 它 改变 了 公司 的 政策 。 这 一 决定 
将 导致 系统 的 管理 更 加 复杂 ， 因 为 管理 者 需要 保证 移动 设备 配置 正确 ， 以 保护 公司 数据 的 安 
全 。 系 统 的 技术 复杂 度 也 将 提升 ， 因 为 该 系统 将 不 再 只 实现 在 单个 平台 上 ， 而 可 能 需要 修改 
软件 以 使 其 能 够 运行 在 笔记 本 电脑 、 平 板 电脑 和 手机 上 。 

除了 技术 复杂 度 ， 系 统 之 系统 的 特性 还 可 能 导致 管理 复杂 度 和 治理 复杂 度 的 大 幅 提 升 。 
图 20-3 概括 了 不 同 的 系统 之 系统 的 特性 对 不 同类 型 的 复杂 度 的 影响 。 

1. 操作 独立 性 。 组 成 系统 之 系统 的 子 系统 受 不 同 的 政策 、 规 则 (治理 复杂 度 ) 以 及 管理 
系统 的 方式 (管理 复 架 度 ) 的 影响 。 

2. 管理 独立 性 。 管 理 组 成 系统 之 系统 的 子 系统 的 方式 不 尽 相 同 ， 这 些 管理 方式 需要 相互 
协作 来 保证 管理 方式 变化 的 一 致 性 (管理 复杂 度 )。 特 殊 软 件 可 能 需要 文 持 管理 和 演化 的 一 
致 性 (技术 复杂 度 )。 

3. 演化 式 开 发 。 其 会 增加 系统 之 系统 的 技术 复杂 度 ， 因 为 系统 的 不 同 部 分 可 能 使 用 不 同 
技术 开发 。 

4. 复杂 度 会 导致 涌现 。 系 统 越 复 洒 ， 它 就 更 容易 产生 意 想不到 的 涌现 特性 。 抵 消 这 些 涌 
现 特性 需要 开发 或 修改 软件 ， 因 此 会 增加 技术 复杂 度 。 

5. 地 理 分 布 会 增加 系统 之 系统 的 技术 、 管 理 和 治理 复杂 度 。 技 术 复 杂 度 会 增加 是 因为 需 
要 软件 来 协调 和 同步 这 些 远程 系统 ; 管理 复杂 度 会 增加 是 因为 不 同 国家 的 管理 者 要 协调 行动 
会 变 得 更 加 困难 ; 治理 复杂 度 会 增加 是 因为 系统 的 不 同 部 分 可 能 位 于 不 同 的 行政 辖区 ， 因 此 
受 不 同 法 律 和 规定 的 制约 。 

6. 由 于 数据 项 之 间 的 关联 关系 ， 数 据 密集 型 系统 技术 上 也 更 复杂 。 数 据 的 错误 和 不 完整 
也 可 能 增加 技术 复杂 度 。 由 于 治理 数据 使 用 的 法 律 法 规 不 同 ， 治 理 复杂 度 也 可 能 增加 。 

7. 系统 异 质 性 会 导致 技术 复杂 度 增 加 ， 因 为 需要 保证 系统 不 同 部 分 使 用 的 不 同 技术 之 间 
的 兼容 性 。 


系统 之 系统 的 特性 技术 复杂 度 管理 复杂 度 
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图 20-3 ”系统 之 系统 的 特性 与 系统 复杂 度 


今天 的 大 型 的 系统 之 系统 的 复杂 度 不 可 思议 ， 无 法 作为 一 个 整体 被 理解 或 分 析 。 正 如 
20.3 节 中 将 论述 的 ， 系 统 中 各 部 分 之 间 大 量 的 交互 以 及 这 些 交 互 天 然 的 动态 性 ， 导 致 传统 的 
工程 方法 并 不 适用 于 复杂 系统 。 开 发 大 型 软件 密集 型 系统 的 项 目 时 出 现 的 种 种 问题 的 根源 是 
复杂 度 ， 而 非 管理 不 善 或 技术 不 足 。 


B20¢ 系统 之 系统 393 


20.2 系统 之 系统 的 分 类 


前 文 曾 提 到 ， 系 统 之 系统 的 突出 特点 是 它 具 有 两 个 或 两 个 以 上 独立 管理 的 单元 。 不 同 
的 具有 不 同 优先 权 的 人 都 可 以 做 出 改变 系统 日 常 操 作 的 决策 ， 由 于 这 些 人 的 工作 可 能 并 不 一 
致 ， 导 致 的 冲突 就 需要 大 量 的 时 间 和 精力 来 解决 。 因 此 ， 系 统 之 系统 总 是 具有 一 定 程度 的 管 
理 复杂 度 。 

然而 ， 上 述 广义 的 系统 之 系统 的 定义 覆盖 了 很 多 不 同 的 系统 类 型 ， 包 括 那 些 由 某 一 个 组 
织 所 拥有 但 由 该 组 织 不 同 部 分 管理 的 系统 ， 以 及 由 不 同 组 织 所 拥有 和 管理 的 系统 ， 并 且 在 某 
些 时 候 这 些 组 织 可 能 互相 竞争 。Maier (Maier 1998 ) 设计 了 基于 其 治理 复杂 度 和 管理 复杂 度 
的 系统 之 系统 分 类 表 。 

1. 受 控 系 统 。 受 控 系 统 之 系统 由 单个 组 织 所 拥有 ， 通 过 整合 该 组 织 所 拥有 的 系统 开发 。 
系统 单元 可 能 由 组 织 的 多 个 部 分 独立 管理 ,但 组 织 中 存在 一 个 最 高 管理 部 门 ， 可 以 为 系统 管 
理 设 定 优先 级 。 该 部 门 可 以 解决 系统 不 同 单元 的 管理 者 之 间 的 冲突 ， 因 此 受 控 系 统 具 有 一 定 
的 管理 复杂 度 ， 但 没有 治理 复杂 度 。 受 控 系 统 之 系统 的 一 个 例子 是 军事 指挥 控制 系统 ， 该 系 
统 可 以 整合 来 自 空 中 和 地 面 系统 的 信息 。 

2. 协作 系统 。 协 作 系 统 之 系统 是 没有 负责 设 定 管理 优先 级 或 解决 冲突 的 中 央 机 构 的 系 
统 。 通 和 常 ， 这 类 系统 的 单元 由 不 同 组 织 所 拥有 和 管理 ,但 这 些 组 织 可 以 通过 对 系统 的 共同 
管理 互惠 互利 。 因 此 ， 它 们 通常 会 设立 一 个 志愿 治理 体 来 对 系统 进行 决策 。 协 作 系 统 具 有 
管理 复杂 度 以 及 有 限 的 治理 复杂 度 。 协 作 系 统 之 系统 的 一 个 例子 是 公交 信息 整合 系统 ， 公 
共 汽 车 、 轨 道 交 通 和 航空 运输 提供 商 一 起 将 各 自 的 系统 连接 起 来 ， 以 将 最 新 的 信息 提供 给 
乘客 。 

3, 虚拟 系统 。 虚 拟 系统 中 不 存在 中 央 式 管理 ， 系 统 的 参与 者 可 能 对 系统 的 总 体 目 的 并 未 
达成 一 致 ， 它 们 可 以 选择 加 入 或 离开 系统 之 系统 。 系 统 的 互 操 作 性 因 取 决 于 可 变 的 公共 接口 
而 无 法 保证 。 这 类 系统 同时 具有 非常 高 的 管理 和 治理 复杂 度 。 虚 拟 系 统 之 系统 的 一 个 例子 是 
自动 高 速算 法 交易 系统 ， 来 自 不 同 公司 的 交易 系统 互相 购买 和 售 出 股票 ， 这 些 交 易 发 生 在 几 
分 之 一 秒 内 。 

KERE, EAH Maier 采用 的 命名 并 没有 真正 反映 这 些 不 同类 型 系统 间 的 差异 。 正 
如 Maier 自己 所 说 ， 对 系统 单元 的 管理 总 是 会 涉及 协作 ， 因 此 “协作 系统 ”并 不 是 一 个 很 好 
的 命名 。" 受 控 系 统 ” 这 一 名 称 隐 含 着 自 上 而 下 的 治理 权 , 但 即使 是 在 单个 组 织 中 ,为 了 维 
持 相 关 人 员 良 好 工作 关系 ， 管 理 通常 是 达成 一 致 而 非 强 迫 。 

“虚拟 ”系统 之 系统 没有 正式 的 协作 机 制 ， 但 系统 参与 者 可 以 在 系统 中 互惠 互利 。 因 此 ， 
参与 者 可 能 以 非 正 式 的 方式 进行 协作 ， 来 保证 系统 可 以 持续 运转 。 此 外 ，Maier 所 用 的 “ 虚 
拟 ” 一 词 可 能 令 人 困惑 ， 因 为 现在 “虚拟 ”的 意思 是 “通过 软件 实现 ”， 比 如 虚拟 机 和 虚拟 
现实 。 

图 20-4 描绘 了 不 同类 型 系统 中 的 协作 。 与 Maier 不 同 ， 这 里 所 使 用 的 名 称 更 具 描 述 性 : 

1. 组 织 型 系统 之 系统 的 治理 层 和 管理 层 处 在 同一 个 组 织 或 公司 中 。 这 类 系统 之 系统 对 应 
Maier 所 说 的 “ 受 控 系 统 之 系统 ”， 系 统 所 有 者 之 间 的 协作 由 组 织 管理 。 这 种 系统 之 系统 在 
地 理 上 可 能 是 分 布 式 的 ， 系 统 的 不 同 部 分 受 不 同 国家 的 法 律 法 规 管制 。 在 图 20-4 中 ， 系 统 
1、2 和 3 独立 管理 ,但 系统 的 治理 是 集中 (中央 ) 式 的 。 | 

2. 联邦 型 系统 的 治理 依赖 于 一 个 由 所 有 系统 所 有 者 的 代表 组 成 的 自愿 参与 体 。 图 20-4 
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中 ， 系 统 1、2 和 3 参与 组 成 了 一 个 治理 体 。 系 统 所 有 者 们 同意 协作 并 相信 治理 体 所 做 出 的 
决定 具有 约束 力 。 他 们 根据 各 上 自 的 管理 策略 实现 这 些 决 定 ， 尽 管 由 于 国家 法 律 、 法 规 和 文化 
的 差异 ， 其 实现 可 能 不 同 。 

3. 联合 型 系统 没有 正式 的 治理 机 制 ， 但 相关 组 织 以 非 正式 的 方式 进行 协作 并 管理 各 自 的 
系统 ， 使 系统 保持 为 一 个 整体 。 例 如 ， 如 果 某 个 系统 给 其 他 系统 提供 茶 个 数据 ， 该 系统 管理 
者 不 会 在 不 通知 其 他 系统 的 情况 下 就 改变 数据 格式 。 
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图 20-4 系统 之 系统 的 协作 


基于 治理 的 分 类 表 为 我 们 提供 了 识别 一 个 系统 之 系统 的 治理 需求 的 手段 。 通 过 根据 该 模 
型 划分 一 个 系统 的 类 型 ， 你 可 以 检验 是 否 存在 合适 的 治理 结构 ， 以 及 这 些 结构 是 否 是 你 真正 
需要 的 。 在 组 织 间 建 立 这 些 组 织 结构 是 一 个 政治 过 程 ， 而 且 会 无 可 避免 地 花费 很 长 时 间 ， 因 
此 在 过 程 的 早期 理解 治理 问题 并 采取 行动 来 保证 合适 的 治理 的 方式 是 非常 有 用 的 。 有 时 可 能 
需要 采用 将 一 个 系统 从 某 个 分 类 移动 到 男 一 分 类 的 治理 模型 。 在 图 20-4 中 ， 向 左 移动 治理 
模型 通常 可 以 减少 复杂 度 。 

前 文中 曾 提 到 校内 数字 学 习 环 境 (iLearn) 是 一 个 系统 之 系统 。 它 不 仅 与 数字 学 习 系 统 
相连 ， 还 和 学 校 行政 系统 及 网 络 管理 系统 相连 。 这 些 网 络 管理 系统 的 作用 是 互联 网 过 滤 ， 即 
防止 学 生 访 问 互 联网 上 不 该 他 们 访问 的 内 容 。 

iLearn 在 技术 上 比较 简单 ， 但 由 于 教育 的 赞助 方 和 管理 方式 ， 系 统 的 治理 复杂 度 很 高 。 
在 许多 国家 ， 大 学 前 教育 的 赞助 和 组 织 是 地 方 级 的 而 非 国家 级 的 ， 也 就 是 说 ， 州 、 城 市 或 是 
郡 对 当地 的 学 校 负 责 ， 并 具有 决定 学 习 资 金 和 政策 的 自治 权 。 每 个 地 方 政 府 都 有 上 自己 的 行政 
系统 和 网 络 管理 系统 。 

苏格兰 有 32 个 地 方 政府 机 构 对 当地 的 教育 负责 ， 学 校 行政 系统 外 包 给 三 个 提供 商 之 一 ， 
iLearn 必须 接 入 这 些 系统 。 但 是 等 个 地 方 政府 机 构 有 各 自 的 网 络 管理 政策 ， 涉及 不 同 的 网 络 
管理 系统 。 

开发 数字 学 习 系 统 是 国家 计划 ,但 要 建立 数字 学 习 环 境 ， 系 统 需要 与 网 络 管理 和 学 校 行 
政 系统 整合 。 因 此 ， 数 字 学 习 系 统 是 一 个 包含 行政 和 网 络 管理 系统 以 及 其 他 iLearn 内 的 系 
统 ( 如 Office365 和 Wordpress) 的 系统 之 系统 。 多 个 机 构 之 间 没 有 共同 的 治理 过 程 ， 因 此 ， 
根据 分 类 表 ， 这 是 一 个 系统 的 联合 。 实 际 上 ， 这 意味 着 由 于 不 同 的 互联 网 过 滤 政 策 ， 它 无 法 
保证 不 同 地 区 的 学 生 能 够 获取 相同 的 工具 和 内 容 。 
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在 生成 了 系统 的 概念 模型 后 ， 我 们 强烈 建议 地 方 政 府 机 构 间 应 出 台 一 个 共同 的 行政 信息 
og 和 互联 网 过 滤 政 策 。 事 实 上 ， 我 们 建议 该 系统 应 该 是 一 个 联邦 型 系统 而 非 联合 型 系统 。 
一 建议 需要 建立 一 个 新 的 治理 体 来 为 系统 达成 一 个 共同 的 政策 和 标准 。 


20.3 还 原 论 和 复杂 系统 


前 文 已 提 到 ， 我 们 现在 的 软件 工程 方法 和 技术 已 经 不 能 处 理 其 从 现代 系统 之 系统 继承 的 
复杂 性 。 当 然 ， 这 并 不 是 个 新 观点 : 所 有 工程 学 科 中 的 进步 都 是 被 挑战 和 疑难 问题 所 驱动 ， 
新 的 方法 和 工具 也 都 是 为 了 应 对 现存 方法 中 的 失效 和 困难 而 被 开发 的 。 

在 软件 工程 中 ， 我们 已 经 目睹 了 这 个 学 科 在 帮助 管理 软件 系统 日 益 增长 的 规模 和 复杂 性 
方面 不 可 思议 的 快速 发 展 ， 这 确实 是 有 价值 的 努力 。 我 们 现在 能 构建 比 20 世纪 六 七 十 年 代 
FEM ER EEK, BRAM AB. 

与 其 他 工程 类 学 科 一 样 ， 软 件 工程 中 复杂 管理 的 基础 方法 被 称 为 还 原 论 (reductionism), 
还 原 论 是 基于 任何 系统 都 是 由 部 分 和 子 系统 组 成 这 样 一 个 哲学 立场 ， 它 假设 系统 整体 的 行为 
和 人 性质 能 够 通过 理解 个 体 部 分 和 这 些 部 分 之 间 的 关系 被 理解 和 预测 。 因 此 ， 在 设计 一 个 系统 
时 ， 组 成 这 个 系统 的 部 分 应 该 被 确定 好 和 分 别 构建 ， 接 着 被 装配 进 整个 系统 。 系 统 可 以 看 作 
是 有 层级 的 ， 同 时 在 层级 中 有 重要 的 父 节 点 和 子 节 点 的 关系 。 

还 原 论 已 经 并 且 将 继续 是 所 有 工程 类 学 科 中 的 基础 方法 。 我 们 可 以 确定 系统 中 相同 类 
型 部 分 的 一 般 抽象 ， 并 且 分 别 设 计 和 构造 这 些 抽象 ， 它 们 能 够 被 整合 起 来 创造 所 需 系 统 。 例 
如 ， 汽 车 中 的 抽象 可 以 是 车 身 外 壳 、 传 动 系统 、 发 动机 、 燃 油 系统 等 。 这 些 抽 象 间 的 相对 关 
系 较 少 ， 因 此 指定 接口 并 且 独 立地 设计 和 构建 系统 中 的 每 个 部 分 是 可 能 的 。 

相同 的 还 原 论 方法 已 经 成 为 软件 工程 的 基础 ， 这 已 长 达 $0 年 之 久 。 在 目 顶 回 下 设计 中 ， 
从 一 个 系统 的 高 层 模型 开始 ， 把 它 分解 成 它 的 构件 ， 这 就 是 一 个 还 原 论 方法 。 这 是 所 有 软件 
设计 方法 的 基础 ， 例 如 面向 对 象 设计 。 编 程 语言 包括 抽象 ， 例 如 直接 地 反映 还 原 论 系统 分 解 
的 过 程 和 对 象 。 

敏捷 方法 ， 虽 然 它 们 看 起 来 可 能 与 自 顶 向 下 方法 系统 设计 区 别 很 大 ， 但 也 是 还 原 论 方 
法 。 它 位 的 做 法 是 把 系统 分 解 成 几 个 部 分 ,分别 实现 这 些 部 分 ， 接 着 把 这 些 部 分 集成 起 来 创 
建 系统 。 敏 捷 方法 和 自 项 向 下 设计 方法 间 唯 一 的 不 同 是 ， 系 统 被 递增 地 分 解 成 构件 而 不 是 立 
刻 分 解 。 

还 原 论 方法 在 系统 构件 间 关 系 或 交互 作用 相对 较 少 的 情况 下 最 容易 成 功 ， 因 为 这 种 情况 
下 科学 地 对 这 些 相互 关系 建 模 是 可 能 的 。 在 机 械 和 电气 系统 中 ， 系 统 构件 间 存 在 物理 联系 ， 
通常 都 是 符合 前 述 情况 的 。 但 是 在 电子 系统 和 与 前 者 明显 不 同 的 软件 系统 中 ， 系 统 构件 间 可 
能 存在 更 多 的 静态 和 动态 关系 ， 通 常 是 不 符合 前 述 情况 的 。 

人 们 在 20 世纪 70 年 代 意识 到 了 软件 和 硬件 构件 间 的 区 别 。 设 计 方 法 强调 限制 和 控制 
系统 各 部 分 之 间 关 系 的 重要 性 ， 这 些 方法 建议 构件 应 该 紧密 集成 ， 但 构件 间 的 关系 应 该 是 
松 耦 合 的 。 紧 密集 成 意味 着 构件 内 部 的 关系 占 绝 大 多 数 ， 松 耦合 意味 着 构件 - 构件 关系 组 
合 相 对 应 该 很 少 。 对 紧密 集成 (数据 和 操作 ) 和 松 耦 合 的 需求 是 面向 对 象 软件 工程 发 展 的 
驱动 力 。 

不 幸 的 是 ， 在 大 型 系统 中 ， 特 别 是 在 系统 之 系统 中 ， 对 关系 数量 和 类 型 的 控制 几乎 是 不 
可 能 的 。 当 系统 中 有 许多 关系 或 这 些 关系 很 难 理解 和 分 析 时 ， 还 原 论 是 不 合适 的 。 因 此 任何 
类 型 的 大 型 系统 开发 都 有 可 能 陷入 困境 。 
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| OC HEHE DAI XE FY) Dek A EARE Ta Ay A SEAS Be HE A R 8 FEE AN A). (Sommerville 
etal. 2012 )。 这 些 假设 展示 在 图 20-5 中 ， 而 且 被 应 用 在 以 下 领域 。 


决策 制定 问题 定义 
系统 的 所 有 者 由 技术 标准 驱动 ， 存在 可 定义 的 问题 
控制 系统 的 开发 做 出 合理 决策 和 明确 的 系统 边界 
还 原 论 假设 
























没有 单个 系统 
所 有 者 或 控制 者 


se 


决策 由 政治 
动机 驱动 


环 手 的 问题 和 
不 断 协 商 的 系统 边界 


系统 之 系统 的 现实 
图 20-5 还 原 论 的 假设 与 复杂 系统 的 现实 


1. 系统 所 有 权 和 控制 权 。 还 原 论 假设 系统 中 存在 控制 权 ， 此 控制 权能 解决 争论 并 且 做 
出 适用 于 整个 系统 的 高 层 技术 决策 。 正 如 我 们 所 看 到 的 ， 因 为 系统 之 系统 的 管理 涉及 多 个 机 
构 ， 上 述 假 设 在 系统 之 系统 中 是 不 正确 的 。 

2. 做 出 理性 决策 。 还 原 论 假设 构件 间 的 交互 能 够 通过 诸如 数学 建 模 的 方式 进行 客观 评 
估 ， 这 些 评估 是 系统 决策 的 驱动 力 。 因 此 ， 如 果 一 个 车 辆 的 详细 设计 说 它 提供 了 最 佳 的 燃油 
经 济 性 并 且 不 会 造成 功率 的 降低 ， 还 原 论 方法 就 会 假设 这 将 会 是 设计 上 的 选择 。 

3. 定义 系统 边界 。 还 原 论 假设 系统 边界 的 存在 是 能 够 被 承认 而 且 被 定义 的 。 这 通常 是 明 
确 的 : 存在 一 个 物理 外 壳 对 系统 做 出 定义 ,诸如 ， 汽 车 中 的 系统 ， 桥 必须 跨 过 给 定 伸 展 的 水 
等 。 复 杂 系 统 通 常 被 开发 来 处 理 棘 手 问题 ( Rittel and Webber 1973 )， 对 这 些 问 题 ， 决 定 什 
么 是 系统 内 部 什么 是 系统 外 部 通常 要 靠 主观 判断 ， 而 所 涉及 的 利益 相关 者 的 意见 通常 是 不 一 
致 的 。 

这 些 还 原 论 假设 为 所 有 复杂 系统 做 了 分 解 ， 但 是 当 这 些 系统 是 软件 密集 型 时 ， 困 难 进 一 
步 加 剧 了 ， 具 体 如 下 。 

1. 软件 系统 中 的 关系 不 受 物理 定律 的 约束 。 我 们 无 法 创建 能 预测 软件 系统 行为 和 属性 的 
数学 模型 。 因 此 ， 我 们 没有 决策 的 科学 依据 。 政 治 因素 通常 是 大 型 和 复杂 软件 系统 决策 的 驱 
动力 。 

2. 软件 没有 物理 限制 ; 因此 没有 有 关系 统 的 边界 应 该 在 哪里 的 限制 。 不 同 的 利益 相关 者 
将 争论 把 边界 以 最 有 利于 他 们 的 方式 放置 。 此 外 ， 相 比 硬件 需求 的 变更 ， 软 件 需求 的 变更 更 
容易 发 生 。 边 界 和 系统 的 范围 在 其 开发 过 程 中 可 能 会 发 生变 化 。 

3. 连接 来 自 不 同 所 有 者 的 软件 系统 相对 容易 ; 因此 我 们 更 可 能 在 没有 单一 管理 机 构 的 情 
况 下 尝试 和 创建 系统 之 系统 ， 并 且 不 能 完全 控制 所 涉及 的 不 同系 统 的 管理 和 演化 。 

由 于 这 些 原因 ， 笔 者 认为 在 大 型 软件 系统 工程 中 ， 普 遍 的 问题 和 困难 是 不 可 避免 的 。 政 
府 的 大 项 目的 失败 ， 如 英国 和 美国 的 卫生 自动 化 项 目的 失败 是 一 个 复杂 性 的 后 果 ， 而 不 是 技 
术 或 项 目 管理 的 失败 。 

还 原 论 方法 ， 如 面向 对 象 开发 ， 在 改进 我 们 设计 多 种 类 型 的 软件 系统 能 力 方 面 已 经 非 
常 成 功 。 这 些 方法 会 继续 在 中 小 型 系统 开发 方面 发 挥 效用 ， 它 们 的 复杂 性 可 以 被 控制 并 且 它 
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们 可 能 是 某 个 软件 SoS 的 一 部 分 。 然 而 ， 由 于 还 原 论 的 基本 假设 ,“ 改 进 ” 这 些 方法 不 会 导 
致 我 们 设计 复杂 系统 之 系统 能 力 的 提高 。 相 反 ， 我 们 需要 新 的 抽象 、 方 法 和 工具 来 识别 SoS 
工程 的 技术 、 人 力 、 社 会 和 政治 复杂 性 。 相 信 这 些 新 方法 将 是 概率 和 统计 ， 工 具 将 依靠 系统 
模拟 来 支持 决策 。 开 发 这 些 新 方法 是 21 世纪 软件 和 系统 工程 的 一 个 主要 挑战 。 


20.4 系统 之 系统 工程 


系统 之 系统 工程 是 整合 现 有 系统 来 创建 新 功能 和 能 力 的 过 程 。 系 统 之 系统 不 是 按 自 顶 向 
下 方法 设计 的 ， 相 反 ， 它 们 是 在 组 织 认 识 到 可 以 将 附加 价值 集成 到 SoS 中 ， 在 现 有 系统 基 
础 上 增加 这 些 价值 时 创建 的 。 例 如 ， 一 个 城市 政府 可 能 希望 减少 城市 特定 热点 的 空气 污染 。 
为 此 ， 它 可 能 将 其 交通 管理 系统 与 国家 实时 污染 监测 系统 相 结合 。 然 后 允许 交通 管理 系统 通 
过 改变 策略 来 减少 污染 ， 如 改变 交通 灯 序 列 ， 速 度 限制 等 。 

软件 SoS 工程 问题 与 第 15 章 讨 论 过 的 大 规模 应 用 系统 集成 问题 有 很 多 共同 点 ( Boehm 
and Abts 1999 )，。 简 而 言 之 ， 这 些 问题 是 : 

1. 缺乏 对 系统 功能 和 性 能 的 控制 ; 

2. 不 同系 统 的 开发 人 员 做 出 的 不 同和 不 兼容 的 假设 ; 

3. 不 同系 统 有 不 同 的 进化 策略 和 时 间 表 ; 

4. 当 出 现 问题 时 ， 缺 乏 系 统 所 有 者 的 文 持 。 

在 构建 软件 系统 之 系统 中 的 许多 努力 来 自 于 定位 这 些 问题 。 它 涉及 决定 系统 架构 、 开 发 
软件 接口 来 协调 参与 系统 之 间 的 差异 ， 以 及 使 系统 适应 可 能 发 生 的 不 可 预见 的 变化 。 

软件 系统 之 系统 是 大 而 复杂 的 实体 ， 并 且 它 们 的 开发 过 程 变化 很 大 ， 这 取决 于 开发 SoS 
时 所 涉及 系统 中 通常 的 类 型 、 应 用 领域 ， 以 及 参与 开发 的 组 织 的 需求 。 如 图 20-6 所 示 ， 在 
SoS 开发 过 程 包含 下 面 5 个 一 般 意 义 上 的 活动 。 







治理 和 管理 政策 制定 


图 20-6 系统 之 系统 工程 过 程 


1. 概念 设计 。 本 书 在 第 19 章 中 介绍 了 概念 设计 的 理念 ， 它 涵盖 了 系统 工程 。 概 念 设计 
是 为 系统 创造 一 个 高 层次 的 活动 ， 对 整个 系统 定义 基本 需求 和 识别 约束 。 在 SoS 工程 中 ， 
概念 设计 过 程 的 一 个 重要 输入 是 可 能 参与 SoS 的 现 有 系统 的 知识 。 

2. 系统 选择 。 在 此 活动 期 间 ， 选 择 包 括 在 SoS 中 的 一 组 系统 。 这 个 过 程 与 选择 应 用 系 
统 进行 复 用 的 过 程 类 似 ， 见 第 15 章 。 你 需要 评估 现 有 系统 来 选择 你 需要 的 功能 。 在 你 选择 
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应 用 系统 时 ， 选 择 标准 主要 是 商业 的 ; 也 就 是 说 ， 哪 些 系统 能 以 你 准备 支付 的 价格 提供 最 合 
适 的 功能 ? 

然而 ， 政 治 要 求 以 及 系统 治理 和 管理 问题 通常 是 影响 SoS 中 包含 哪些 系统 的 关键 因素 。 
例如 ， 一 些 系统 可 能 被 排除 在 考虑 之 外 ， 因 为 一 个 组 织 不 希望 与 竟 争 对 手 合 作 。 在 其 他 情况 
下 ， 对 系统 的 联合 做 出 贡献 的 组 织 可 能 会 提出 某 些 系统 ， 并 且 坚 持 使 用 它们 ， 即 使 它们 不 一 
定 是 最 好 的 系统 。 

3. 体系 结构 设计 。 与 系统 选择 同时 进行 ， 必 须 开 发 SoS 的 整体 体系 结构 。 体 系 结构 设 
计 本 身 就 是 一 个 重要 的 课题 ， 见 20.5 节 。 

4. 接口 开发 。SoS 中 涉及 的 不 同系 统 通 常 有 不 兼容 的 接口 。 因 此 ， 开 发 SoS 的 软件 工程 
工作 的 主要 部 分 是 开发 接口 ， 使 组 成 系统 可 以 互 操 作 。 这 可 能 还 涉及 统一 用 户 界面 的 开发 ， 
使 SoS 的 操作 者 在 使 用 SoS 中 的 不 同系 统 时 不 必 处 理 多 个 用 户 界 面 

5. 集成 和 部 署 。 此 阶段 使 Sos 中 涉及 的 不 同系 统 通过 开发 的 接口 共同 工作 和 互 操作 。 
系统 部 署 意味 着 将 系统 置 于 相关 组 织 中 并 使 其 可 操作 。 

在 进行 这 些 技术 活动 的 同时 ， 需 要 有 一 个 高 级 别 活动 ， 涉 及 建立 系统 之 系统 的 治理 政 
策 和 确定 实施 这 些 政策 的 管理 准则 。 在 涉及 若干 组 织 的 情况 下 ， 这 个 过 程 可 能 是 长 期 和 困难 
的 。 它 可 能 涉及 组 织 改 变 自己 的 政策 和 流程 。 因 此 ， 重 要 的 是 在 SoS 开发 过 程 的 早期 阶段 
开始 治理 讨论 。 


20.4.1 接口 开发 


SoS 中 的 组 成 系统 通常 是 为 了 某 些 特定 目的 而 独立 开发 的 。 它 们 的 用 户 界 面 是 根据 原来 
的 目的 定制 的 。 这 些 系统 可 能 具有 或 可 能 不 具有 人 允许 其 他 系统 直接 与 它们 交互 的 应 用 编程 接 
口 (API)。 因 此 ， 当 这 些 系 统 集成 到 SoS 中 时 ， 必 须 开 发 软件 接口 ， 以 便 允 许 Sos 中 的 组 
成 系统 互 操 作 。 

一 般 来 说 ，SoS 开发 的 目的 是 使 系统 能 够 在 没有 用 户 干预 的 情况 下 彼此 直接 通信 。 如 果 
这 些 系统 已 经 提供 了 基于 服务 的 接口 ， 如 第 18 章 所 述 ， 那 么 就 可 以 使 用 这 种 方法 实现 该 通 
言 。 接 口 开 发 涉及 描述 如 何 使 用 接口 来 访问 每 个 系统 的 功能 。 所 涉及 的 系统 可 以 彼此 直接 通 
信 。 系 统 联 盟 (其 中 所 涉及 的 所 有 系统 都 是 同位 体 ) 可 能 使 用 这 种 类 型 的 直接 交互 ， 因 为 它 
不 需要 预先 就 系统 通信 协议 达成 一 致意 见 。 

然而 ， 更 常见 的 是 ，SoS 中 的 组 成 系统 具有 它们 自己 的 专用 API， 或 仅 允 许 通 过 其 用 户 接 
口 来 访问 它们 的 功能 。 因 此 ， 你 必须 开发 能 够 协调 这 些 接 口 之 间 差 异 的 软件 。 最 好 将 这 些 接口 
实现 为 基于 服务 的 ， 如 图 20-7 Bras ( Sillitto 
2010). 

要 开发 基于 服务 的 接口 ， 必 须 检 查 现 
有 系统 的 功能 ， 并 定义 一 组 服务 以 反映 该 功 
能 。 然 后 接口 提供 这 些 服务 。 服 务 通过 调用 
底层 系统 API 或 模仿 用 户 与 系统 的 交互 来 
实现 。SoS 中 的 系统 之 一 通常 是 管理 组 成 系 
统 之 间 交 互 的 主体 或 协调 系统 。 主 系统 充当 
服务 代理 ,在 SoS 中 的 不 同系 统 之 间 引 导 
服务 调用 。 因 此 ， 每 个 系统 不 需要 知道 其 他 图 20-7 具有 服务 接口 的 系统 


服务 接口 
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哪个 系统 正在 提供 被 调 服务 。 

SoS 中 每 个 系统 的 用 户 界 面 可 能 不 同 。 主 系统 必须 具有 一 些 总 体 用 户 界 面 来 处 理 用 户 认 
证 ， 并 提供 对 底层 系统 特征 的 访问 。 然 而 ， 实 现 统一 的 用 户 界面 以 替换 基础 系统 的 各 个 接口 
通常 是 昂贵 和 耗 时 的 。 

统一 的 用 户 界面 (UI) 使 新 用 户 更 容易 学 习 使 用 SoS, 并 减少 用 户 错误 的 可 能 性 。 然 
而 ,统一 UI 开发 是 否 具有 成 本 效益 取决 于 以 下 几 个 因素 : 

1. SoS 中 系统 的 交互 假设 。 一 些 系统 可 能 具有 过 程 驱动 的 交互 模型 ， 其 中 系统 控制 界面 
并 提示 用 户 输 入 。 其 他 人 可 以 给 予 用 户 控制 ， 使 得 用 户 选 择 与 系统 的 交互 序列 。 实 际 上 几乎 
不 可 能 统一 不 同 的 交互 模型 。 ! 

2. SoS 的 使 用 模式 。 在 许多 情况 下 ， 以 这 样 的 方式 使 用 SoS ， 使 得 一 个 站 点 上 的 用 户 的 
大 多 数 交 互 是 与 某 个 组 成 系统 完成 的 。 仅 当 需 要 其 他 信息 时 ， 它 们 才 使 用 其 他 系统 。 例 如 ， 
空中 交通 控制 器 通常 可 以 使 用 雷达 系统 获取 飞行 信息 ， 只 有 在 需要 附加 信息 时 才 访 问 飞行 计 
划 数 据 库 。 统 一 接口 (界面 ) 在 这 些 情况 下 是 一 个 坏 主意 ， 因 为 它 会 减 慢 与 最 常用 系统 的 交 
互 。 然 而 ， 如 果 操 作 员 与 所 有 组 成 系统 交互 ， 则 统一 的 UI 可 能 是 最 佳 方式 。 

3. SoS 的 “开放 性 ” 。 如 果 SoS 是 开放 的 ， 使 得 新 系统 可 以 在 使 用 时 被 添加 到 其 中 ， 则 
统一 的 UI 开发 是 不 切实 际 的 。 不 可 能 预见 新 系统 的 UI 将 是 什么 。 开 放 性 也 适用 于 使 用 SoS 
的 组 织 。 如 果 新 的 组 织 可 以 参与 ， 则 他 们 可 能 根据 现 有 的 设备 和 他 们 自己 的 偏好 用 于 用 户 交 
互 。 因 此 他 们 可 能 不 喜欢 统一 的 UI。 

在 实践 中 ，UI 统一 的 限制 因素 可 能 是 UI 开发 的 预算 和 时 间 。UI 开发 是 最 昂贵 的 系统 
工程 活动 之 一 。 在 许多 情况 下 ， 没 有 足够 的 项 目 预算 来 支持 创建 统一 的 Sos 用 户 界面 。 


20.4.2 ”集成 和 部 署 


系统 集成 和 部 署 通常 是 单独 的 活动 。 集 成 和 测试 团队 将 构件 集成 为 系统 ， 进 行 确 认 ， 然 
后 发 布 以 进行 部 署 。 构 件 将 被 管理 ， 以 便 控 制 变更 ， 并 且 集 成 团队 可 以 确信 系统 中 包含 所 需 
的 版 本 。 然 而 ， 对 于 SoS， 这 种 方法 也 许 是 不 可 能 的 。 一 些 构件 系统 可 能 已 经 部 署 和 使 用 ， 
并 且 集 成 团队 无 法 控制 对 这 些 系 统 的 变更 。 

因此 ， 对 于 SoS， 将 集成 和 部 署 视 为 同一 进程 的 一 部 分 是 有 意义 的 。 这 种 方法 反映 了 将 
在 下 一 节 中 讨论 的 设计 指南 之 一 ， 即 一 个 不 完整 的 系统 之 系统 应 该 可 用 并 提供 有 用 的 功能 。 
集成 过 程 应 从 已 经 部 署 的 系统 开始 ， 将 新 系统 添加 到 SoS 中 ， 以 便 为 整个 系统 的 功能 提供 
一 致 的 补充 。 

计划 SoS 的 部 署 以 反映 这 一 点 往往 是 有 意义 的 ， 因 此 SoS 部 署 发 生 在 多 个 阶段 。 例 如 ， 
图 20-8 说 明了 iLearn 数字 学 习 环 境 的 三 阶段 部 署 过 程 。 

1. 初始 部 署 阶段 提供 身份 验证 、 基 本 学 习 功 能 以 及 与 学 校 管理 系统 的 集成 。 

2. 部 署 的 第 2 阶段 增加 了 一 个 集成 存储 系统 和 一 组 更 专门 的 工具 ， 以 支持 特定 主题 的 学 
习 。 这 些 工 具 可 能 包括 历史 档案 、 科 学 模拟 系统 和 计算 编程 环境 。 

3. 第 3 阶段 增加 了 用 户 配 置 的 特性 以 及 用 户 将 新 系统 添加 到 iLearn 环境 的 能 力 。 该 阶 
段 允 许 为 不 同年 龄 组 创建 不 同 版 本 的 系统 ， 还 提供 了 进一步 的 专用 工具 ， 以 及 要 包括 的 标准 
工具 的 替代 。 

与 任何 大 型 系统 工程 项 目 一 样 ， 系 统 集成 中 最 耗 时 和 昂贵 的 部 分 是 系统 测试 。 系 统 之 系 
统 的 测试 是 困难 和 昂贵 的 ， 有 以 下 3 个 原因 。 
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图 20-8 iLearn SoS 的 发 布 顺序 


1. 可 能 没有 可 用 作 系 统 测试 基础 的 详细 需求 规格 说 明 。 开 发 SoS 需求 文档 可 能 不 具有 
成 本 效益 ， 因 为 系统 功能 的 细节 由 所 包括 的 系统 定义 。 

2. 组 成 系统 可 能 在 测试 过 程 中 发 生变 化 ， 因 此 测试 可 能 不 可 重复 。 

3. 如 果 发 现 问题 ， 可 能 无 法 通过 要 求 更 改 一 个 或 几 个 组 成 系统 来 解决 这 些 问 题 。 相 反 ， 
可 能 必须 引入 一 些 中 间 软 件 来 解决 问题 。 

为 了 帮助 解决 这 些 问题 ，S$oS 测试 应 该 采取 下 面 这 些 由 敏捷 方法 开发 的 测试 技术 。 

1. 敏捷 方法 不 依赖 于 用 于 系统 验收 测试 的 完整 系统 规格 说 明 。 相 反 ， 利 益 相 关 者 密切 参 
与 测试 过 程 ， 并 有 权 决 定 整 个 系统 何 时 可 以 接受 。 对 于 SoS， 如 采 可 能 的 话 ， 一些 利益 相关 
者 应 该 参与 测试 过 程 ， 他 们 可 以 评论 系统 是 否 准备 好 部 辕 。 

2. 敏捷 方法 广泛 使 用 自动 化 测试 。 这 使 得 它 更 容易 重新 运行 测试 ， 以 发 现 意外 的 系统 变 
更 是 否 对 SoS 整体 造成 了 问题 。 

根据 系统 类 型 ， 你 可 能 必须 对 设备 安装 和 用 户 培训 进行 谋划 ， 因 其 是 部 署 过 程 的 一 部 
分 。 如 果 系 统 安装 在 新 环境 中 ， 设 备 安装 是 很 简单 的 。 但 是 ， 如 果 要 更 换 现 有 系统 ,假如 新 
设备 与 正在 使 用 的 设备 不 兼容 ， 则 可 能 会 出 现 安装 问题 。 可 能 没有 用 于 将 新 设备 与 工作 系统 
并 排 安装 的 物理 空间 ; 可 能 没有 足够 的 电力 ; 可 能 用 户 没 有 时 间 参 与 ， 因 为 他 们 忙于 使 用 当 
前 系统 。 这 些 非 技术 问题 可 能 会 延迟 部 署 过程 ， 并 使 SoS 不 易 被 采纳 和 使 用 。 


20.5 ”系统 之 系统 的 体系 结构 


系统 之 系统 的 工程 过 程 中 最 关键 的 活动 或 许 就 是 体系 结构 设计 了 。 体 系 结构 设计 包含 : 
选择 要 包含 的 子 系统 ,评估 子 系统 如 何 进行 互 操 作 ， 以 及 设计 交互 促进 机 制 。 体 系 结构 设计 
做 出 了 数据 管理 、 宛 余 和 通信 方面 的 关键 决策 。 本 质 上 ， 由 系统 之 系统 的 架构 师 负 责 实现 系 
统 概念 设计 中 陈述 的 愿景 。 特 别 地 ， 对 于 组 织 的 和 联邦 的 系统 而 言 ， 这 一 步骤 中 做 出 的 决策 
对 系统 之 系统 的 性 能 、 韧 性 和 可 维护 性 至 关 重 要 。 

Maier (Maier 1998 ) 论述 了 复杂 系统 体系 结构 设计 的 4 条 基本 原则 。 

1. 设计 出 的 系统 即使 不 完整 也 能 创造 价值 。 对 于 由 数 个 其 他 系统 组 成 的 系统 ， 它 不 应 只 
在 所 有 构件 都 正常 工作 的 前 提 下 才 有 用 。 应 当 存在 一 些 “ 稳 定 的 中 间 形 式 ”， 使 得 部 分 系统 
能 够 正常 工作 。 
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2. 对 能 控制 的 部 分 保持 务实 的 态度 。 只 有 当 个 人 或 团体 对 整个 系统 和 系统 的 组 成 部 分 施 
加 控制 的 时 候 ， 系 统 之 系统 才能 达到 最 佳 性 能 。 如 果 没 有 控制 ， 想 让 系统 之 系统 创造 价值 就 
相当 困难 。 然 而 ， 试 图 过 度 控 制 系统 之 系统 很 可 能 遭 到 单个 系统 所 有 者 的 抵制 ， 从 而 导致 系 
统 部 署 和 演化 方面 的 顺 向 延迟 。 

3. 以 系统 接口 为 重点 。 为 构建 一 个 成 功 的 系统 之 系统 ， 我 们 需要 设计 接口 使 得 系统 元 素 
可 以 进行 互 操作 。 接 口 不 宜 具 有 太 强 的 限制 性 ， 以 便 系统 元 素 演 化 和 持续 发 挥 效 用 。 

4. 提供 协调 激励 机 制 。 当 系统 元 素 被 独立 地 拥有 和 管理 时 ， 系 统 拥 有 者 需要 激励 机 制 来 
持续 参与 整个 系统 的 运作 。 可 以 是 财务 激励 (付费 使 用 或 降低 经 营 成 本 )、 渠 道 激 励 (如 果 你 
分 享 你 的 数据 ， 我 就 会 分 享 我 的 数据 )， 或 者 社区 激励 (参与 SoS， 你 就 能 在 社区 得 到 话语 权 )。 

Sillitto ( Sillitto 2010 ) 完善 了 这 些 原 则 ， 并 且 提 出 了 额外 的 重要 指导 原则 ， 这 些 原 则 包 
含 如 下 方面 。 

1. 把 SoS 设计 成 节点 和 网 络 体系 结构 。 节 点 是 一 种 社会 技术 系统 ， 它 包含 了 数据 、 软 
件 、 硬 件 、 基 础 设施 (技术 构件 ) 以 及 组 织 政策 、 人 、 过 程 和 培训 (社会 技术 的 )。Web 不 仅 
是 节点 间 的 通信 设施 ， 而 且 提供 了 每 个 节点 上 系统 管理 者 之 间 正 式 和 非 正 式 的 社交 的 机 制 。 

2. 将 行为 指定 为 节点 间 交 换 的 服务 。 面 向 服务 的 体系 结构 的 发 展 提供 了 系统 可 操作 性 的 
一 个 标准 机 制 。 如 果 一 个 系统 未 提供 服务 接 日 ， 那么 应 该 实现 一 个 接口 作为 SoS 开发 过 程 
的 一 部 分 。 

3. 理解 和 管理 系统 缺陷 。 任 何 SoS 都 存在 意外 失效 和 不 合 需 要 的 行为 。 尝 试 理解 缺陷 
和 设计 一 个 对 失效 有 韧性 的 系统 是 至 关 重 要 的 。 

从 Maier 和 Sillitto 的 工作 中 能 提取 出 一 个 关键 信息 : SoS 的 架构 师 必须 高 瞻 远 有 瞩 。 他 
们 需要 将 系统 视 作 为 一 个 整体 ， 把 技术 和 社会 技术 方面 都 考虑 进去 。 有 了 时候 问题 最 好 的 解决 
方案 不 是 设计 更 多 的 软件 ， 而 是 对 管理 系统 运行 的 规则 政策 做 出 改变 。 

诸如 MODAF (MOD 2008 ) #1 TOGAF ( TOGAF 是 The Open Group 2011 的 注册 商标 ) 这 
类 的 体系 结构 框架 被 认为 是 支持 系统 之 系统 的 体系 结构 设计 的 一 种 方式 。 体 系 结构 框架 原本 开 
发 出 来 是 为 了 支持 企业 系统 体系 结构 的 ， 是 各 个 系统 的 组 合 。 企 业 系统 可 以 是 有 组 织 的 系统 之 
系统 ， 也 可 以 包含 一 个 更 简单 的 管理 体系 结构 ， 后 者 使 得 整体 管理 系统 组 合成 为 可 能 。 体 系 结 
构 框 架 用 于 有 组 织 的 系统 之 系统 的 开发 ， 在 这 种 开发 过 程 中 整个 SoS 具有 单独 的 治理 权 。 

单个 体系 结构 模型 无 法 展示 出 体系 结构 和 商业 分 析 中 所 需 的 全 部 信息 。 因 此 ， 在 框架 
中 我 们 会 提出 数 个 在 描述 和 记录 企业 系统 的 过 程 中 应 当 创 建 和 维护 的 体系 结构 视图 。 不 同 
框架 有 太 多 的 共同 点 ， 以 致 它们 会 倾向 于 反映 涉及 系统 的 语言 和 历史 。 例 如 ，MODAF 和 
DODAF 是 英国 国防 部 (MOD) 和 美国 国防 部 (DOD) 的 类 似 框 架 。 

TOGAF 框架 是 由 Open Group 开发 的 开放 式 标 准 ， 被 用 于 支持 企业 内 商业 体系 结 
构 、 数 据 体系 结构 、 应 用 体系 结构 和 技术 体系 结构 的 设计 。 它 的 核心 是 体系 结构 开发 方法 
( Architecture Development Method，ADM)， 后 者 包含 了 多 个 阶段 。 这 些 内 容 如 图 20-9 所 示 
(HLA TOGAF 参考 文档 ，Open Group 2011 )。 

所 有 的 体系 结构 框架 都 包含 大 量 的 体系 结构 模型 的 开发 和 管理 过 程 。 图 20-8 中 的 每 个 
活动 都 会 主导 系统 模型 的 创建 。 然 而 ， 由 于 如 下 两 个 原因 ， 这 个 过 程 可 能 存在 问题 。 

1. 原始 模型 开发 周期 长 ， 涉 及 项 目 利益 相关 者 之 间 的 广泛 协商 。 这 会 拖 慢 整个 系统 的 开 
发 进程 。 

2. 维护 模型 的 一 致 性 非常 耗 时 和 昂贵 ， 因 为 SoS 的 组 织 和 内 部 系统 经 常 发 生变 更 。 
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体系 结构 框架 本 质 上 是 还 原 论 的 ， 最 大 限度 地 忽视 了 技术 科学 和 政策 方面 的 问题 。 当 框 
架 意识 到 这 些 开放 式 的 问题 非常 难以 定义 之 后 ， 会 拟定 出 一 个 很 多 系统 之 系统 无 法 达成 的 控 
制 和 管理 标准 。 这 个 标准 本 质 上 就 是 一 个 有 用 的 
清单 ， 提 醒 架 构 师 体系 结构 设计 过 程 中 哪些 东西 (nes 
是 值得 思考 的 。 然 而 ， 框 架 采取 的 模型 管理 和 还 
原 论 方法 的 开销 限制 了 它们 在 Sos 体系 结构 设计 
A 


中 的 效用 。 | 
体系 
20.5.1 系统 之 系统 的 体系 结构 模式 T 结构 愿景 5 
; 体系 结构 商业 
第 6、17 和 21 章 描 述 了 不 同类 型 的 系统 的 变更 管理 体系 结构 


体系 结构 模式 。 总 的 来 说 ， 体 系 结构 模式 就 是 不 
同系 统 公认 的 一 种 程式 化 的 体系 结构 。 体 系 结构 
模式 在 如 下 两 个 方面 颇 为 有 用 : 1. 促进 关于 系统 /~ 


TAFE 
和 文献 最 合适 的 体系 结构 的 讨论 ;2 解释 所 采用 人 
的 体系 结构 。 本 书 的 这 一 部 分 涵盖 了 软件 系统 之 


系统 的 多 种 典型 模式 。 正 如 所 有 的 体系 结构 模式 s 
迁移 规划 





那样 ， 其 实 的 系统 通常 基于 两 个 或 以 上 的 模式 。 

系统 之 系统 的 体系 结构 模式 的 概念 还 在 起 步 
阶段 。Kawalsky ( Kawalsky 等 ，2013 ) 探讨 了 WRIA 
体系 结构 模式 在 理解 和 支持 SOS 设计 中 的 价值 ， 
尤其 是 指挥 控制 系统 。 模 式 在 描述 SoS 组 织 的 时 
修 非 常 有 效 ， 无须 详细 的 领域 知识 。 

作为 数据 提要 的 系统 

在 此 类 体系 结构 模式 中 ( 见 图 20-10 )， 存 在 一 个 要 求 不 同 数据 类 型 的 主 系统 。 数 据 可 
从 其 他 系统 中 获取 ， 主 系统 查询 其 他 系统 以 获得 所 需 的 数据 。 总 体 而 言 ， 提 供 数 据 的 系统 之 
间 不 存在 交互 。 这 种 模式 常见 于 组 织 型 系统 或 联邦 型 系统 ， 因 为 这 些 系统 中 存在 着 一 些 治理 
机 制 。 

例如 ， 在 英国 ， 要 想 给 车 上 上 牌照， 必须 首先 提供 有 效 保 险 和 年 检 证 书 。 当 你 和 车 辆 管理 
系统 打交道 的 时 候 ， 系 统 其 实 已 经 和 两 个 其 他 系统 进行 了 交互 ， 以 确保 提供 的 证 书 文件 是 有 
效 的 。 两 个 其 他 系统 包括 : 

1. 投保 车 辆 系统 。 一 个 由 车 辆 保险 公司 运行 的 联邦 型 系统 ， 维 护 所 有 最 新 的 车 辆 保险 政 
策 的 信息 。 

2. MOT 证 书 系统 。 记 录 所 有 国家 权威 检测 机 构 颁 发 的 年 检 证 书 。 

“作为 数据 提要 的 系统 ”这 一 体系 结构 ， 在 可 唯一 验证 实体 并 针对 这 些 实体 创建 相对 简 
单 的 查询 操作 的 情况 下 ， 是 适合 使 用 的 。 在 牌照 系统 中 ， 车 辆 由 车 牌 注册 号 唯一 标识 。 在 其 
他 系统 中 ， 可 以 通过 GPS 坐标 定位 如 污染 监控 仪 之 类 的 实体 。 

“作为 数据 提要 的 系统 ”的 变 体 产生 的 原因 是 ， 一 定数 量 的 系统 提供 相似 的 数据 ， 而 非 
完全 一 致 的 数据 。 因 此 ， 系 统 不 得 不 引入 中 间 层 ， 如 图 20-11 所 示 。 中 间 层 的 作用 是 把 来 目 
主 系统 的 查询 语言 翻译 成 各 个 子 信 息 系统 所 需要 的 特定 查询 语言 。 

例如 ，iLearn 系统 和 3 个 不 同 的 供应 商 提供 的 学 校 管 理 系统 交互 。 所 有 的 学 校 管理 系统 


图 20-9 TOGAF 体系 结构 开发 方法 (TOGAF@ 
Version 9.1, ©1999-2011.The Open 
Group ) 
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提供 学 生 的 相同 信息 (姓名 、 个 人 信息 等 ),， 但 是 拥有 不 同 的 接口 。 数 据 库 的 组 织 结 构 各 异 ， 
返回 的 数据 类 型 也 各 不 相同 。 统 一 接口 使 用 区 域 性 信息 检测 系统 用 户 基 于 哪个 区 域 ， 从 而 得 
知 应 当 访问 哪个 管理 系统 ， 然 后 将 标准 查询 转化 为 该 系统 的 特定 查询 。 





数据 提要 1( a ) 上 | 数据 提要 1(b ) 数据 提要 1(c) 


图 20-10 ”作为 数据 提要 的 系统 图 20-11 具有 统一 接口 的 作为 数据 提要 的 系统 


此 模式 的 系统 中 出 现 的 问题 本 质 上 是 数据 提要 无 法 获取 或 响应 慢 导致 的 接口 问题 。 系 统 
中 应 当 有 超时 设 定 ， 以 避免 数据 提要 失效 影响 整个 系统 的 啊 应 时 间 。 同 时 还 应 有 治理 机 制 ， 
以 防止 在 未 取得 所 有 系统 所 有 者 的 允许 的 情况 下 修改 提供 数据 的 格式 。 

容器 中 的 系统 

容器 中 的 系统 是 系统 之 系统 的 一 种 ， 其 中 一 个 系统 承担 虚拟 容 顺 的 作用 ， 提 供 诸如 身份 
验证 和 存储 的 公共 服务 。 概 念 上 而 言 ， 其 他 系统 被 放 入 这 个 容器 ， 以 确保 用 户 能 使 用 它们 的 
功能 。 图 20-12 描述 了 一 个 拥有 3 个 公共 服务 和 6 个 内 置 系统 的 容器 系统 。 包 含 的 内 置 系统 
是 从 核准 系统 列表 中 选取 的 ， 并 且 无 须知 道 它们 被 包含 在 容器 内 。 
这 种 模式 常见 于 联邦 型 系统 或 系统 联合 中 。 

iLearn 系统 就 是 一 种 容器 中 的 系统 ， 拥 有 文 持 喘 份 验 证 、 用 户 
数据 存储 和 系统 设置 等 功能 的 公共 服务 。 其 他 功能 通过 选取 现存 的 
系统 (包括 报纸 存档 、 学 习 环境 等 ) 并 集成 到 容器 内 实现 。 

当然 二 你 不 必 把 这 些 系统 置 入 一 个 真实 的 容 需 来 实现 系统 之 系 
统 。 对 于 每 一 个 核准 的 系统 ， 都 有 一 个 特定 的 接口 来 实现 其 与 公共 
服务 的 集成 。 接 口 管理 容器 提供 的 公共 服务 的 转化 和 已 集成 系统 的 
需求 。 集 成 未 经 核准 的 系统 也 是 可 能 的 ， 只 是 这 些 系统 无 法 访问 容 
器 提供 的 公共 服务 。 容器 系统 

图 20-13 描述 了 这 种 集成 的 过 程 。 这 幅 图 是 提供 了 如 下 三 种 公 图 20-12 容器 中 的 系统 
共 服 务 的 iLearn 系统 的 简化 版 本 。 

1. 一 个 提供 了 所 有 核准 系统 上 的 登录 功能 的 验证 服务 。 用 户 不 必 为 不 同 的 系统 维护 不 同 
的 证 书 。 

2. 用 户 数 据 存储 服务 a。 这 项 服务 可 以 无 缝 地 转移 到 核准 系统 ,或 从 核准 系统 转 出 。 

3. 配置 服务 。 用 以 在 容器 内 增加 或 删除 系统 。 

这 个 案例 描述 了 针对 物理 学 科 的 iLearn 系统 的 一 个 版 本 。 除 了 办 公 效 率 系 统 (如 
Office 365 ) 和 虚拟 学 习 环 境 (如 Moodle)， 还 包含 了 模拟 需 和 数据 分 析 系 统 。 其 他 系统 〈( 如 
YouTube 和 科学 百科 全 书 ) 也 是 这 个 系统 的 一 部 分 。 然 而 ， 这 些 是 未 经 核准 的 ， 因 此 也 不 具 
备 容 需 接口 。 用 户 必须 亲自 登入 这 些 系统 来 组 织 数据 的 传输 。 
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此 类 SoS 体系 结构 存在 两 个 问题 。 

1. 必须 为 每 个 核准 系统 开发 一 个 单独 的 接口 ， 以 保证 公共 服务 能 正常 使 用 。 这 意味 着 只 
能 支持 相对 少数 的 核准 系统 。 

2. 容器 系统 的 拥有 者 无 法 对 内 置 系统 的 功能 和 行为 施加 影响 。 内 置 系统 随时 可 能 发 生 故 
障 或 者 被 撤 出 容器 。 

然而 ， 这 个 体系 结构 的 主要 好 处 在 于 它 允 许 增 量 式 开发 。 容 器 系统 的 早期 版 本 可 以 基于 
未 经 核准 的 系统 。 接 口 可 以 在 后 面 的 版 本 开发 ， 以 便 其 与 容器 服务 更 紧密 地 集成 。 

交易 系统 | 

交易 系统 是 系统 之 系统 的 一 种 ， 它 不 包含 主 系 统 ， 任 何 成 分 系统 之 间 都 可 能 发 生 信 息 的 
交易 ， 可 能 是 一 对 一 ， 也 可 能 是 一 对 多 。 每 个 系统 发 布 自己 的 接口 ， 但 不 存在 所 有 系统 都 遵 
循 的 接口 标准 。 这 样 的 系统 如 图 20-14 所 示 。 交 易 系 统 可 能 是 联邦 型 系统 或 系统 联合 。 

交易 系统 的 一 个 例子 就 是 一 个 用 于 股票 证 券 的 算法 交 
易 的 系统 之 系统 。 经 纪 人 拥有 自己 的 系统 ， 可 以 自动 地 从 
其 他 系统 中 买卖 股票 。 这 些 系 统 可 以 定价 ， 也 可 以 和 其 他 
系统 单独 协商 。 交 易 系 统 的 另外 一 个 例子 就 是 旅行 聚合 器 ， 
可 以 显示 价格 进行 比较 ， 并 且 人 允许 用 户 直接 预订 旅行 。 

交易 系统 通常 为 某 种 类 型 的 集 市 而 开发 ， 其 中 的 信息 交 
换 大 多 是 关于 交易 的 商品 和 商品 价格 的 。 尽 管 交易 系统 有 自 
己 的 权限 ， 在 个 人 交易 中 很 有 说 服 力 ， 但 是 主要 还 是 用 于 自 eS TOS 
动 交易 场景 ， 在 这 种 场景 下 ， 系 统 之 间 直 接 进 行 协商 。 图 20-14 一 个 交易 系统 之 系统 

这 种 模式 的 主要 问题 是 缺乏 治理 机 制 ， 内 置 系统 可 以 
随时 变更 。 当 这 种 变更 和 其 他 系统 的 预 设 矛盾 的 时 候 ， 交 易 就 无 法 继续 。 有 时 ， 联 盟 中 的 系 
统 的 拥有 者 希望 能 与 其 他 系统 继续 交易 ， 因 此 他 们 可 能 做 出 一 些 非 正式 的 安排 来 确保 其 中 一 
个 系统 的 变更 不 会 阻止 交易 的 继续 进行 。 在 其 他 情况 下 ， 如 旅行 聚合 器 中 ， 航 空 公司 可 能 故 
意 改 变 系 统 来 强制 用 户 直接 和 他 们 进行 预订 。 


要 所 
。 系统 之 系统 是 两 个 或 以 上 独立 管理 和 治理 的 系统 的 集合 
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e 系统 之 系统 有 3 种 重要 的 复杂 性 类 型 一 一 技术 复杂 性 、 管 理 复杂 性 和 治理 复杂 性 。 

© 系统 治理 可 以 作为 SoS 的 分 类 方法 的 基础 。 这 引出 了 SoS 的 3 个 分 类 一 一 组 织 型 系 
统 、 联 邦 型 系统 和 系统 联合 。 

e 由 于 系统 之 系统 内 部 的 复杂 性 ， 还 原 论 这 一 工程 方法 在 这 里 并 不 适用 。 还 原 论 假定 
有 清晰 的 系统 边界 、 理 性 的 决策 制定 和 明确 定义 的 问题 。 这 3 条 在 系统 之 系统 中 都 
不 成 立 。 

© SoS 开发 过 程 中 的 关键 步骤 包括 概念 设计 、 系 统 选择 、 体 系 结构 设计 、 接 口 开 发 、 集 
成 与 部 署 。 治 理 和 管理 政策 必须 与 这 些 活动 同步 设计 。 

e 体系 结构 模式 是 描述 和 讨论 SoS 的 典型 体系 结构 的 一 种 方式 。 重 要 的 模式 包括 : 作 
为 数据 提要 的 系统 、 容 器 中 的 系统 和 交易 系统 。 
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网 站 


ASFA PPT: http://software-engineering-book.com/slides/chap20/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/systems-engineering/ 


练习 


20.1 为 什么 当 比 较 系 统 之 系统 和 其 他 大 型 复杂 系统 的 时 候 管 理 和 运营 的 独立 性 是 关键 的 区 别 
因素 ? 

20.2 ”治理 复杂 性 和 管理 复杂 性 之 间 的 区 别 是 什么 ? 

20.3 20.2 节 讲 述 的 SoS 的 分 类 中 提出 了 一 个 基于 治理 的 分 类 方法 。 指 出 下 列 系 统 之 系统 的 
分 类 ， 并 给 出 你 的 理由 : 
(a) 一 个 给 医院 、 诊 所 和 基层 医疗 的 患者 健康 记录 提供 统一 访问 权限 的 医疗 保健 系统 ; 
(b) 万 维 网 ; 
(c) 一 个 回 一 系列 福利 服务 (如 养老 金 、 伤 残 抚恤 金 和 失业 津贴 ) 提供 访问 权限 的 政 

府 系统 。 
20.4 ”什么 是 还 原 论 ”为 什么 它 能 作为 多 种 工程 的 基础 ? 
20.5 ”使 还 原 论 不 那么 有 效 的 复杂 软件 系统 有 什么 特征 ? 
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20.6 


20.7 


20.8 
20.9 


为 什么 在 SoS 开发 过 程 中 系统 选择 和 体系 结构 设计 应 并 发 执行 ? 为 什么 两 者 之 间 应 该 
有 紧密 的 联系 ? 
Sillitto 认为 SoS 中 的 节点 之 间 的 通信 不 应 该 只 是 技术 方面 的 ， 还 应 该 包含 系统 涉及 的 
人 之 间 的 非 正式 社会 技术 交流 。 使 用 iLearn 系统 之 系统 作为 例子 ， 指 出 在 哪些 方面 非 
正式 交流 能 提高 系统 有 效 性 。 

出 练习 20.3 中 的 系统 之 系统 最 匹配 的 体系 结构 模式 。 
交易 系统 模式 假定 没有 中 央 集 权 的 情形 存在 。 FR ITERA PEAS SO EIU 交易 系统 
必须 遵循 规范 性 规则 。 指 出 为 允许 监管 者 检查 是 否 遵循 规则 ， 这 个 模式 应 做 出 哪些 调 
整 。 不 包含 所 有 经 过 中 心 节 点 的 交易 。 


20.10 ”你 就 职 的 软件 公司 开发 过 一 个 提供 购买 者 信息 的 系统 ， 并 且 已 经 被 一 部 分 零售 企业 


在 SoS 内 使 用 。 他 们 为 使 用 的 服务 付费 。 讨 论 在 不 事先 通知 的 情况 下 改变 系统 接口 
以 强迫 用 户 支付 更 高 的 费用 有 何 种 道德 衡量 。 分 别 从 企业 员工 、 顾 客 和 股东 的 角度 
考虑 这 个 问题 。 
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实时 软件 工程 





目标 

本 章 的 目标 是 介绍 吝 入 式 实时 系统 的 重要 特征 和 实时 软件 工程 。 阅 读 完 本 章 后 ， 你 将 : 

。 理解 储 入 式 软件 的 概念 ， 嵌 入 式 软件 用 于 必须 对 那些 来 自 其 环境 的 外 部 事件 做 出 响 

应 的 控制 系统 ; | 

e 了 解 实 时 系统 的 设计 过 程 ， 即 软件 系统 组 织 成 一 组 协作 的 过 程 ; 

。 理解 常用 于 舱 和 人 式 实 时 系统 设计 的 三 大 体系 结构 模式 ; 

。 理解 实时 操作 系统 的 组 织 结构 以 及 它们 在 嵌入 式 实时 系统 中 的 角色 。 

从 简单 的 家 用 电器 到 游戏 控制 器 再 到 整个 制造 工厂 ， 采 用 计算 机 控制 的 系统 非常 广泛 。 
这 些 计算 机 直接 与 硬件 装置 交互 。 它 们 的 软件 需要 对 硬件 产生 的 事件 做 出 响应 并 发 出 相应 的 
控制 信和 号。 这 些 信号 引发 动作 ， 例如， 开始 一 个 电话 呼叫 、 在 屏幕 上 角色 的 移动 、 阀 门 的 打 
开 、 系 统 状况 的 显示 。 这 些 系统 中 的 软件 嵌入 硬件 中 ， 通 常 是 只 读 存 储 器 里 ， 并 且 总 是 能 实 
时 地 响应 系统 环境 中 的 事件 。 所 谓 实 时 ， 是 指 软件 系统 响应 外 部 事件 有 一 个 时 限 。 如 果 超 过 
了 这 个 时 限 ， 整 个 硬件 软件 系统 将 不 能 正确 地 运行 。 

现在 由 于 几乎 每 种 电器 设备 都 包括 软件 ， 骨 入 式 软件 变 得 非常 重要 。 与 其 他 类 型 的 软件 
ASL, mARRIAAR LA. Hi Erbert 和 Jones (Ebert and Jones 2009) 的 估算 ， 发 
达 国 家 人 均 拥 有 约 30 个 微 处 理 器 系统 ， 这 一 数字 还 在 以 每 年 10% ~ 20% 的 速率 增长 。 这 
预示 着 到 2020 年 ， 人 均 艇 人 式 系统 拥有 量 将 超过 100 个 。 

实时 响应 是 舱 入 式 系统 和 其 他 软件 系统 之 间 的 一 个 最 为 重要 的 不 同 点 。 这 里 所 说 的 其 他 
系统 ， 如 信息 系统 、 基 于 Web 的 系统 或 者 个 人 软件 系统 ， 它 们 的 主要 目的 是 数据 处 理 。 对 
于 非 实 时 系统 ， 它 们 的 正确 性 可 以 通过 指定 系统 输入 如 何 映射 到 由 系统 产生 的 对 应 输出 来 定 
义 。 对 一 个 输入 的 响应 ， 系 统 应 该 产生 对 应 的 一 个 输出 ， 通 常 应 该 存储 一 些 数 据 。 例 如 ， 在 
病人 信息 系统 中 ， 如 果 你 选择 一 条 创建 命令 ， 那 么 正确 的 系统 响应 是 在 数据 库 中 创建 一 条 新 
的 病人 记录 ， 并 证 实 这 已 经 实现 。 在 合理 的 限度 内 ， 它 的 执行 与 时 间 无 关 。 

然而 ， 在 实时 系统 中 ， 准 确 性 既 依赖 于 对 输入 的 响应 ， 又 依赖 于 产生 该 响应 的 时 间 。 如 
果 系 统 要 花费 太 长 时 间 去 响应 的 话 ， 那 么 所 要 的 响应 可 能 是 无 效 的。 例如 ， 如 果 骨 入 式 软件 
控制 的 汽车 刹车 系统 执行 太 慢 ， 那 么 由 于 车 不 能 及 时 停 下 来 ， 就 会 发 生 事故 。 

因此 ， 在 实时 软件 系统 的 定义 中 ， 时 间 是 固有 要 素 : 

实时 系统 是 一 个 软件 系统 ， 系 统 的 功能 正确 与 否 取决 于 系统 产生 的 结果 以 及 产生 这 个 结 
果 的 时 间 。“ 软 ”实时 系统 是 这 样 一 个 系统 ， 如 果 结 果 没 有 在 规定 的 时 间 内 产生 ， 则 它 的 操 
作 被 视 为 退化 的 操作 。“ 硬 ”实时 系统 是 这 样 一 个 系统 ， 如 果 结 果 没 有 在 规定 的 时 间 内 产生 ， 
则 它 的 操作 被 视 为 系统 失效 。 

对 于 所 有 上航 人 式 系统 来 说 ， 及 时 响应 是 一 个 重要 的 因素 ， 但 是 ， 在 某 些 情况 下 ， 却 不 需 
要 非常 快速 的 响应 。 例 如 ， 在 前 文中 使 用 过 的 胰岛 素 泵 系统 就 是 一 个 散 入 式 系 统 。 然 而 ,在 
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它 需 要 对 血糖 值 做 检测 的 周期 性 间隔 当中 ， 不 需要 对 外 部 事件 进行 十 分 迅速 的 响应 。 野 外 气 
象 站 软件 也 是 一 个 租 入 式 系 统 ,， 但 是 它 也 不 要 求 对 外 部 事件 进行 迅速 的 响应 。 

除了 包含 实时 响应 的 需求 以 外 ， 舱 入 式 系统 和 其 他 类 型 的 软件 系统 之 间 还 有 其 他 的 重要 
不 同 点 。 

1. 租 入 式 系统 通常 持续 运行 而 不 终止 。 当 硬件 开启 时 ， 系 统 开始 执行 ， 且 必须 执行 直到 
硬件 被 关闭 。 这 就 意味 着 可 靠 的 软件 工程 技术 (第 11 章 中 介绍 的 ) 必须 连续 运行 。 实 时 系 
统 可 能 包括 支持 动态 重 配置 的 更 新 机 制 ， 这 样 系统 处 于 服务 期 间 也 能 得 到 更 新 。 

2. 与 系统 环境 的 交互 是 不 可 控制 和 不 可 预测 的 。 在 交互 系统 中 ， 交 互 的 节奏 是 受 系统 控 
制 的 。 通 过 限制 用 户 选择 ， 待 处 理 的 事件 是 可 以 提前 了 解 的 。 相 反 ， 实 时 艇 入 系统 必须 能 对 
任何 时 候 的 意外 事件 做 出 响应 。 这 导致 了 对 实时 系统 的 设计 是 基于 并 发 性 的 ， 多 个 进程 并 行 
执行 。 

3. 存在 影响 系统 设计 的 物理 限制 。 这 样 的 例子 包括 系统 可 利用 的 电源 限制 和 硬件 占据 的 
物理 空间 的 限制 。 这 些 限 制 可 能 会 产生 对 骨 人 式 软 件 的 需求 ， 例 如 ， 节 约 能 量 以 延长 电池 侍 
电 时 间 的 需求 。 尺 寸 和 重量 的 限制 意味 着 软件 要 承担 一 些 便 件 功 能 ， 因 为 系统 需要 限制 使 用 
的 芯片 数量 。 

4. 直接 人 硬件 交互 是 必要 的 。 在 交互 式 系统 和 信息 系统 中 ， 有 一 个 软件 层 (设备 驱动 ) 对 
操作 系统 隐藏 了 硬件 。 这 是 可 能 的 ， 因 为 你 只 能 将 几 种 类 型 的 设备 连接 到 系统 ， 例 如 键盘 、 
鼠标 、 显 示 靓 等。 相反， 网 入 式 系 统 要 和 各 种 各 样 的 硬件 设备 交互 ， 而 这 些 设备 没有 单独 的 
设备 驱动 。 

5. 安全 性 和 可 靠 性 在 系统 设计 中 占据 主要 的 地 位 。 许 多 髓 入 式 系统 控制 的 设备 如 果 失 败 
了 会 带 来 高 昂 的 人 力 或 经 济 成 本 。 因 此 ， 可 依赖 性 是 至 关 重 要 的 ， 并 且 系 统 设计 必须 始终 保 
证 安全 临界 行为 。 通 常 采 用 保守 的 方法 设计 ， 即 使 用 已 调试 或 已 测试 的 成 熟 技术 ， 而 不 是 使 
用 可 能 会 导致 新 失效 模式 的 新 技术 。 

内 入 式 系统 可 以 看 作 是 反应 式 系统 ， 即 它们 必须 在 其 环境 中 对 事件 做 出 反应 〈Berry， 
1989 ; Lee, 2002 )。 啊 应 时 间 通 第 是 由 物理 学 定律 所 控制 的 ， 而 非 为 人 的 便捷 所 选择 的 。 
这 一 点 与 其 他 软件 系统 很 不 一 样 ， 其 他 类 型 软件 系统 控制 着 交互 速度 。 例 如 ， 用 于 写 书 的 字 
处 理 器 能 够 检查 拼写 和 语法 ， 对 处 理 所 用 的 时 间 没 有 限制 。 
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能 入 式 系统 的 设计 过 程 是 一 个 系统 工程 的 过 程 ， 在 该 过 程 中 软件 设计 者 要 深入 系统 能 力 
考虑 系统 硬件 的 设计 和 性 能 。 部 分 系统 设计 过 程 是 要 决定 ， 哪 些 系统 能 力 要 用 软件 实现 ， 哪 
些 系统 能 力 要 用 硬件 实现 。 对 于 很 多 嵌入 在 消费 类 产品 (如 手机 ) 中 的 实时 系统 来 说 ,硬件 
的 成 本 和 电能 消耗 是 一 个 非常 重要 的 问题 。 需 要 使 用 专用 的 处 理 器 来 支持 嵌入 式 系统 ， 而 对 
于 某 些 系统 ， 可 能 还 需要 设计 和 建造 专用 的 硬件 。 

这 意味 着 自 上 而 下 的 软件 设计 过 程 ， 即 设计 开始 于 通过 一 系列 阶段 对 抽象 模型 进行 分 解 
和 开发 的 设计 过 程 ， 对 于 绝 大 多 数 实时 系统 来 说 是 不 现实 的 。 对 于 硬件 、 支 持 软件 以 及 系统 
时 序 等 方面 的 一 些 下 层 决策 ， 需 要 在 过 程 的 早期 考虑 。 这 些 限制 了 系统 设计 者 的 灵活 性 ， 可 
能 意味 着 一 些 额外 的 软件 功能 ， 比 如 电池 和 电源 管理 必须 包括 在 系统 内 。 

考虑 到 能 人 式 系统 是 对 它们 的 环境 中 的 事件 做 出 反应 的 反应 式 系统 ， 对 嵌入 式 实时 软件 
设计 的 一 般 方法 是 基于 激励 - 响应 模型 。 激 励 是 发 生 在 软件 系统 环境 中 引起 系统 以 某 种 方式 
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响应 的 事件 ; 响应 是 由 软件 发 送 到 它 的 环境 的 一 种 信号 或 消息 。 

我 们 可 以 通过 列 出 由 系统 接收 的 激励 和 相关 联 的 响应 ， 以 及 响应 必须 产生 的 时 间 ， 来 
定义 一 个 实时 系统 的 行为 。 例 如 ， 图 21-1 给 出 了 防盗 报警 系统 的 可 能 的 激励 和 系统 啊 应 。 
21.2.1 节 给 出 了 更 多 关于 该 系统 的 信息 。 


| 响 应 
清除 警报 掉 所 有 开启 的 警报 ， 关 掉 所 有 打开 的 照明 灯光 


| 


milla 
i 

= 

oR 

et 

> 

p= 


电源 供电 失效 告 服务 技术 人 员 

传感器 失效 

单个 传感器 结果 为 正 启动 警报 ; 打开 此 传感器 附近 的 照明 灯光 
i 


; : = 
两 个 或 更 多 的 传感器 结果 为 正 gp 本 


| 电压 下 降 10% ~ 20% | 切换 到 备份 电池 供电 ; 运行 电 源 供 电 测试 


电压 降幅 超过 20% 切换 到 备份 电池 供电 ; 启动 警报 ; 报告 警察 ; 运行 电源 供电 测试 
图 21-1 防盗 报警 系统 的 激励 和 响应 


激 
控制 台 紧 急 按钮 被 按 下 3 动 警报 ; 打开 控制 台 附近 照明 灯光 ; 呼叫 警察 





激励 有 两 类 : 

1. 周期 性 的 激励 。 在 每 个 可 预测 的 时 间 时 隔 内 发 生 。 举 例 来 说 ， 系 统 可 能 每 隔 50ms 检 
查 一 次 传 感 咒 ， 根 据 传 感 天 的 值 (激励) 采取 响应 行动 。 

2. 非 周期 性 的 激励 。 这 种 激励 是 不 规则 发 生 的 ， 也 是 不 可 预测 的 。 通 常 使 用 计算 机 的 中 
断 机 制 发 送信 和 号。 这 种 激励 的 一 个 例子 是 中 断 ， 它 指示 输入 / 输出 传输 完成 且 数 据 已 经 在 组 
TB it FE o 

如 图 21-2 所 示 ， 激 励 来 自 于 系统 环境 中 的 传 感 希 ， 啊 应 被 发 送 到 执行 器 (actuator), ix 
些 执行 器 控制 设备 ， 例 如 和 到， 由 此 对 系统 环境 做 出 改变 。 执 行 嚣 自身 也 可 以 产生 激励 。 来 自 
于 执行 需 的 激励 通常 意味 着 执行 器 出 现 了 一 些 问题 ， 必 须 由 系统 处 理 。 


传感器 (ee) 传感器 
ah 


响应 


图 21-2 构 入 式 实时 系统 的 一 般 模 型 


实时 系统 的 一 般 设计 准则 是 ， 对 于 每 一 类 传 感 融 和 执行 占有 不 同 的 进程 ( 见 图 21-3 )。 
对 每 一 类 传感器 ， 有 一 个 传 感 句 管理 进程 处 理由 传 感 磊 采集 的 数据 。 数 据 处 理 进程 计算 系统 
接收 到 激励 所 需要 的 响应 。 执 行 锅 控制 进程 与 每 个 执行 锋 相 关联 ， 并 且 管 理 执行 器 的 操作 。 
传感器 和 执行 器 进程 这 个 模型 能 从 传 感 顺 迅速 采集 数据 〈 在 被 下 个 输入 覆盖 之 前 )， 并 允许 
之 后 对 数据 的 加 工 以 及 相关 执行 机 构 的 啊 应 执行 。 
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“实时 系统 需要 啊 应 不 同时 间 发 生 的 激励 ， 因 此 ， 它 的 体系 结构 的 组 织 需要 保证 只 要 接收 
到 激励 ， 立 即将 相应 的 控制 传 到 适当 的 处 理 
单元 中 去 。 这 在 顺序 程序 中 是 不 现实 的 ， 因 
此 ， 正 常情 况 下 ， 实 时 软件 系统 都 被 设计 成 
一 组 并 发 协作 的 进程 。 为 了 支持 对 这 些 进 程 
的 管理 ， 实 时 系统 所 处 的 执行 平台 可 能 包括 
实时 操作 系统 (将 在 21.4 节 讨 论 )。 实 时 操作 
系统 所 提供 的 功能 可 通过 实时 支持 系统 进行 图 21-3 ”传感器 和 执行 器 进程 

访问 。 

并 没有 标准 的 磐 人 式 系统 设计 过 程 。 使 用 何 种 过 程 取 决 于 系统 的 类 型 、 可 利用 的 硬件 以 
及 开发 系统 的 机 构 。 实 时 软件 设计 过 程 可 能 包含 以 下 几 步 。 

1. 平台 选择 。 此 活动 中 ， 为 系统 选择 一 个 执行 平台 ( 即 要 使 用 的 硬件 和 实时 操作 系统 )。 
影响 这 些 选择 的 因素 包括 系统 的 时 序 限制 、 可 用 电源 的 限制 、 开 发 团队 的 经 验 、 交 付 系 统 的 
价格 目标 等 。 

2. 激励 / 响应 识别 。 包 括 识 别 系统 必须 处 理 的 激励 和 针对 每 种 激励 相应 的 一 个 或 多 个 响应 。 

3. 时 序 分 析 。 对 于 每 种 激励 和 相应 的 啊 应 ， 找 到 应 用 于 激励 和 响应 处 理 的 时 序 约束 。 依 
据 这 些 约束 在 系统 中 为 进程 建立 时 限 。 

4. 进程 设计 。 在 这 个 阶段 ， 将 激励 和 啊 应 处 理 聚 集 到 几 个 并 发 的 进程 中 。 设 计 进 程 体系 
结构 的 好 的 起 点 是 如 20.2 节 所 描述 的 体系 结构 模式 。 然 后 ， 是 对 进程 体系 结构 的 优化 以 反 
映 出 你 需要 实现 的 特殊 需求 。 

5. 算法 设计 。 对 于 每 个 激励 和 响应 ， 设 计算 法 以 执行 所 需要 的 运算 。 算 法 设计 需要 在 设 
计 过 程 中 相对 早 些 进行 ， 给 出 要 求 处 理 的 数量 的 提示 和 完成 处 理 所 需 要 的 时 间 的 提示 。 这 对 
于 计算 密集 型 任务 (如 信号 处 理 ) 是 相当 重要 的 。 

6. 数据 设计 。 定 义 进程 交换 的 信息 以 及 协调 信息 交换 的 事件 ， 并 且 设 计 相 应 的 数据 结构 
管理 信息 交换 。 几 个 并 发 进程 可 以 共享 这 些 数据 结构 。 

7. 进程 调度 。 设 计 调 度 系统 ， 确 保 进 程 及 时 开始 以 满足 它们 的 时 限 要 求 。 

在 实时 软件 系统 设计 过 程 中 ， 这 些 活动 的 顺序 依赖 于 所 要 开发 的 系统 的 类 型 、 它 的 过 程 
和 它 的 平台 需求 。 在 某 些 情况 下 ， 我 们 可 能 会 遵循 一 种 相对 抽象 的 方法 ， 即 从 激励 和 相关 联 
的 处 理 开始 ， 并 在 稍 后 再 决定 硬件 和 执行 平台 。 在 其 他 情形 下 ， 对 硬件 和 操作 系统 的 选择 是 
在 软件 设计 开始 之 前 进行 的 ， 在 这 种 情况 下 ， 就 必须 在 软件 设计 中 充分 考虑 硬件 能 力 所 带 来 
的 约束 。 

实时 系统 中 的 进程 一 定 是 需要 协调 的 ， 也 需要 共享 信息 。 进 程 协调 机 制 要 确保 在 共享 资 
源 时 相互 排斥 。 当 一 个 进程 正在 修改 某 个 共享 资源 的 时 候 ， 其 他 进程 就 不 能 改变 该 资源 。 确 
保 相 互 排斥 的 机 制 包括 : 信号 灯 机 制 ， 监 视 器 机 制 ， 关 键 区 域 机 制 。 在 操作 系统 的 教材 中 
有 关于 这 些 过 程 的 同步 机 制 的 详细 描述 ( Silberschatz，Galvin, and Gagne 2013 ; Stellings 
2014 )。 

当 设 计 进 程 间 信息 交换 时 ， 要 考虑 这 些 进 程 以 不 同 的 速度 在 运行 这 一 事实 。 一 个 进程 产 
生 信 息 ， 男 一 个 进程 消费 那个 信息 。 如 果 生 产 者 比 消费 者 运行 得 快 ， 在 消费 者 进程 读 原来 的 
信息 之 前 ， 新 的 信息 可 能 重 写 先 前 读 入 的 信息 项 。 如 果 消 费 者 进程 比 生 产 者 进程 运行 快 ， 同 
样 的 信息 可 能 被 读 两 遍 。 
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为 了 解决 这 个 问题 ， 应 该 使 用 共享 缓冲 区 并 且 利 用 互 斥 机 制 控制 对 缓 神 区 访问 ， 以 便 实 
现 信 息 交 换 。 这 就 意味 着 在 信息 被 读 之 前 不 可 能 被 重 写 ， 并 且 信 息 不 能 被 读 两 次 。 图 21-4 
展示 了 共享 缓冲 区 的 概念 。 这 通常 作为 循环 队列 实现 ， 这 样 生 产 者 和 消费 者 进程 之 间 的 速度 
不 匹配 就 会 得 到 调节 ， 不 至 于 耽误 进程 执行 。 


环形 缓冲 区 





图 21-4 生产 者 /消费 者 进程 共享 循环 缓冲 区 


生产 者 进程 一 直 在 缓冲 区 队列 尾部 位 置 存 人 数据 (在 图 21-4 中 以 v10 表示 )。 消 费 者 
进程 一 直 从 队列 头 部 检索 信息 〈 在 图 21-4 中 以 vl 表示 )。 消 费 者 进程 检索 信息 之 后 ,列表 
的 尾部 被 调整 到 下 一 项 (v2 ) 处 。 当 生产 者 进程 增加 信息 后 列表 尾部 调整 到 列表 的 下 一 空 
位 处 。 

很 明显 ， 确 保生 产 者 和 消费 者 进程 不 同时 访问 同一 项 ( 即 Head=Tail 时 ) 是 非常 重要 的 。 
如 果 二 者 同时 访问 同一 项 ， 该 对 象 的 值 可 能 难以 预料 。 必 须 确保 生产 者 进程 不 能 向 满 缓冲 区 
添加 项 ， 消 费 者 进程 不 能 从 空 缓冲 区 取出 项 。 

为 了 实现 这 一 点 ， 将 循环 缓冲 区 实现 为 一 个 进程 ， 采 用 Get 和 Put 操作 访问 缓冲 区 。 生 
产 者 进程 调用 Put 操作 ， 消 费 者 进程 调用 Get 进程 。 同 步 原 语 ， 如 信号 量 或 者 关键 区 域 ， 被 
用 于 确保 Get 和 Put 操作 是 同步 的 ， 这 样 它 们 不 会 在 同一 时 间 访 问 同 一 位 置 。 如 果 绥 冲 区 满 
T, Put 进程 就 等 待 一 直 等 到 一 个 覃 变 空 ， 如 果 缓 冲 区 空 ，Get: 进 程 一 直 等 待 直到 产生 了 一 
个 条 目 。 

一 旦 为 系统 选择 了 执行 平台 ,设计 了 一 个 进程 体系 结构 并 确定 了 调度 策略 ， 接 下 来 就 要 
检查 系统 是 否 能 满足 它们 的 时 序 需 求 。 我 们 可 以 根据 构件 的 时 序 行为 知识 通过 静态 分 析 来 做 
此 项 工作 ， 也 可 以 通过 仿真 来 完成 。 这 样 的 分 析 能 歇 露 出 系统 不 能 很 好 地 运行 的 情形 。 进 程 
的 体系 结构 、 调 度 策略 、 执 行 平台 或 者 所 有 这 些 都 必须 重新 设计 ， 以 便 提高 系统 的 性 能 。 

时 序 约 束 或 者 是 其 他 需求 有 时 意味 着 我 们 最 好 是 用 硬件 而 不 是 软件 来 实现 某 些 系统 功 
能 ， 比 如 信号 人 处理。 最 新 的 硬件 构件 ， 例 如 FPGA ( Field-Programmable Gate Array)， 它 是 
灵活 的 ， 可 以 适应 不 同 的 功能 。 硬 件 构件 较 之 软件 构件 来 说 能 带 来 更 好 的 性 能 。 可 以 找到 系 
统 处 理 瓶 绒 并 采用 硬件 来 更 换 ， 这 样 能 避免 昂贵 的 软件 优化 。 


21.1.1 实时 系统 建 模 


实时 系统 需要 响应 的 事件 通常 引起 系统 从 一 个 状态 转换 到 另 一 个 状态 。 因 为 这 个 原因 ， 
如 第 5 章 描述 的 ， 状 态 模型 通常 用 来 描述 实时 系统 。 系 统 的 状态 模型 假设 为 ， 系 统 在 任 一 时 
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刻 一 定 处 于 多 个 可 能 状态 的 某 个 状态 中 。 当 接收 到 一 个 激励 时 ， 系 统 可 能 就 会 产生 一 次 状态 
转换 。 举 例 来 说 ， 当 操作 人 员 给 出 命令 (激励) 时 ， 控 制 阀门 的 系统 可 能 从 “阀门 开启 ” 状 
态 转 换 到 “阀门 关闭 ”状态 。 

状态 模型 是 实时 系统 设计 方法 的 一 个 完整 部 分 。UML 使 用 状态 图 支持 状态 模型 的 开发 
(Harel 1987，1988 )。 状 态 图 是 形式 化 的 状态 机 模型 ， 支 持 层次 化 的 状态 ， 这 样 多 个 状态 
组 可 以 当成 一 个 单个 实体 。Douglass 讨论 了 在 实时 系统 开发 当中 的 UML 的 使 用 (Douglass 
1999 ) 。 

第 5 章 已 经 用 简单 的 微波 炉 模 型 来 说 明了 这 个 系统 建 模 方法 。 图 21-5 是 男 一 个 状态 机 
模型 的 例子 ， 它 给 出 散人 在 汽油 (或 燃气 ) 泵 中 的 油料 输送 软件 系统 的 操作 。 圆 角 和 矩形 代表 
系统 状态 ， 箭 头 代表 激励 ,产生 从 一 个 状态 到 另 一 个 状态 的 转换 。 在 状态 机 图 中 所 选择 的 名 
字 是 描述 性 的 ， 相 关联 的 信息 指出 由 系统 执行 单元 所 执行 的 动作 或 者 是 显示 的 信息 。 注 意 ， 
这 个 系统 从 来 不 会 终止 ， 只 是 在 泵 不 工作 时 处 于 等 待 状态 。 


超时 









初始 化 



















执行 : 
初始 化 显示 
A o 
信用 卡 正 确 插入 枪 套 
oe 输 油 
"pr : 执行 : 输 油 并 
jah LT 
nee SO 
松 开 油 枪 扳 机 
扣 动 油 枪 扳机 
Et 
执行 ， 从 信用 卡 油 枪 
账户 扣除 “|< MARE 


相应 金额 
21-5 ”汽油 (燃气 ) 泵 的 状态 机 模型 


油料 传递 系统 是 为 无 看 守 运 行 而 设计 的 ， 具有 以 下 动作 顺序 。 

1. 买 家 将 信用 卡 插 人 油泵 内 拼 的 读 卡 器 中 , 这 一 操作 使 系统 转 入 读 取 状 态 ， 在 该 状态 
下 ， 系 统 读 取信 用 卡 详细 信息 ， 随 后 系统 会 要 求 买 家 取 回 信用 卡 。 

2. 取出 信用 卡 会 触发 系统 转 人 验证 状态 ， 在 该 状态 下 ， 系 统 对 信用 卡 进 行 验证 。 

3. 如 果 信 用 卡 是 有 效 的 ， 系 统 会 初始 化 油泵 ， 当 油 枪 从 枪 套 中 取出 时 ， 系 统 转 和 人 输 油 状 
态 ， 准 备 输 油 。 扣 动 油 枪 上 的 扳机 会 开始 输 油 ， 直 到 松 开 扳 机 时 停止 (为 了 简化 描述 ， 我 忽 
略 了 防止 油料 溢出 的 压力 开关 )。 
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实时 Java 


Java 编程 语言 已 被 修改 ， 以 使 其 适合 于 实时 系统 开发 。 这 些 修 改 包 括 异 步 通 信 、 添 
加 时 间 (包括 绝对 和 相对 时 间 )、 线 程 不 能 被 垃圾 回收 程序 中 断 的 新 线程 模型 ， 以 及 一 种 
新 的 内 存 管 理 模型 ， 其 可 以 避免 由 垃圾 回收 引起 的 不 可 预测 的 延迟 。 


http://software-engineering-book.com/web/real-time-java/ 


4. 在 输 油 完成 并 且 买 家 将 油 枪 放 回 枪 套 后 ， 系 统 转 入 支付 状态 。 在 该 状态 下 ， 用 户 账 户 
锌 扣除 相应 金额 。 

5. 支付 完成 后 ， 油 到 软件 返回 等 待 状态 。 

状态 模型 在 模型 驱动 的 工程 中 被 用 于 定义 系统 操作 ， 这 一 部 分 我 在 本 书 第 五 草 论述 过 。 
它们 可 以 被 自动 或 半月 动 的 转化 成 一 个 可 执行 程序 。 


21.1.2 ”实时 编程 


用 于 实时 系统 开发 的 程序 语言 必须 包括 能 访问 系统 硬件 的 能 力 ， 而 且 它 要 能 够 预测 语 
言 中 的 特别 操作 的 时 序 。 运 行 在 受 限 硬件 上 的 硬 实 时 系统 现在 有 时 还 仍然 使 用 汇编 语言 来 编 
程 ， 这 是 因为 ， 只 有 使 用 汇编 语言 才能 满足 苛刻 的 时 限 要 求 。 系 统 编程 语言 ， 比 如 C 语言 ， 
能 生成 高 效 的 代码 ， 所 以 也 被 广泛 使 用 。 

使 用 像 C 语言 这 样 的 系统 编程 语言 的 优势 是 ， 它 能 够 开发 出 高 效 的 程序 。 然 而 ， 这 些 
语言 不 包含 文 持 并 发 或 资源 共享 管理 的 结构 。 并 行 性 和 资源 管理 是 通过 调用 实时 操作 系统 
提供 的 原 语 实现 的 ， 例 如 互 斥 信号 量 。 而 这 种 对 实时 操作 系统 的 调用 是 不 能 被 编译 器 检查 
的 ， 所 以 ， 很 容易 产生 编程 错误 。 而 且 ， 这 种 程序 通 筑 也 是 很 难 理解 的 ， 因 为 语言 中 并 不 包 
含 实 时 特征 。 在 理解 程序 的 同时 ， 程 序 阅读 者 还 要 知道 如 何 使 用 系统 调用 提供 对 实时 性 的 
支持 。 

因为 实时 系统 必须 满足 它们 的 时 序 约 束 ， 对 于 硬 实时 系统 就 不 能 使 用 面向 对 象 的 开发 。 
面向 对 象 开发 会 通过 对 象 中 所 定义 的 操作 隐藏 数据 表示 和 访问 的 属性 值 。 这 意味 着 在 面向 对 
象 系统 中 有 非常 大 的 开销 ， 因 为 需要 额外 的 代码 协调 属性 的 访问 和 处 理 对 操作 的 调用 。 由 此 
在 性 能 上 的 损失 使 之 不 可 能 满足 实时 的 时 限 要 求 。 

已 经 有 了 为 姐 入 式 系统 开发 所 设计 的 Java 版 本 (Burns and Wellings 2009 ; Bruno and 
Bollella 2009 )。 该 语言 包含 了 已 修改 的 线程 机 制 ， 允 许 所 指定 的 线程 不 被 语言 垃圾 收集 机 
制 所 中 断 。 也 包括 异步 事件 处 理 机 制 和 时 序 规格 说 明 。 然 而 ， 在 写作 本 书 之 际 ， 该 规格 说 明 
大 多 用 于 有 强大 处 理 器 和 存储 能 力 的 平台 (例如 手机 )， 而 不 是 仅 有 有 限 资源 的 简单 和 仍 人 式 
系统 。 后 者 通常 仍 是 用 C 语言 实现 的 。 


21.2 实时 软件 体系 结构 模式 


体系 结构 模式 是 对 好 的 设计 实践 的 抽象 的 类 型 化 的 描述 。 它 们 封装 的 知识 包括 : 系统 体 
系 结构 的 组 成 ,什么 时 候 应 该 使 用 这 些 体 系 结构 ， 以 及 它们 的 优势 与 劣势 。 然 而 ， 我 们 不 应 
该 把 体系 结构 模式 作为 一 种 通用 的 设计 来 实现 ; 而 是 应 该 通过 模式 来 理解 体系 结构 ， 并 作为 
创建 自己 的 专门 的 体系 结构 设计 的 起 点 。 
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正如 所 期 待 的 那样 ， 实 时 软件 和 交互 式 软件 的 不 同意 味 着 ， 对 于 通 入 式 实 时 系统 我 们 
需要 使 用 不 同 的 体系 结构 模式 。 实 时 系统 模式 是 面 回 过 程 的 ， 而 不 是 面向 对 象 或 者 面 癌 构件 
的 。 在 这 一 他 将 讨论 3 种 经 常 使 用 的 实时 体系 结构 模式 。 

1. 观察 和 反应 模式 。 该 模式 用 于 当 一 组 传感器 周期 性 地 监控 和 显示 的 时 候 。 当 传感器 显 
示 已 经 发 生 了 某 个 事件 时 (如 电话 来 电 )， 作 为 反应 系统 会 局 动 一 个 进程 来 处 理 此 事件 。 

2. 环境 控制 模式 。 该 模式 用 于 某 些 系统 ， 这 些 系 统 包 括 能 提供 环境 信息 的 传 感 带 和 改变 
环境 的 执行 器 。 根 据 传 感 絮 检测 到 的 环境 改变 ， 控 制 信号 被 发 送 到 系统 的 执行 毅 。 

3. 处 理 管 道 模式 。 该 模式 用 于 在 数据 被 处 理 之 前 需要 从 一 种 表示 变换 到 男 一 种 表示 的 时 
候 。 变 换 实 现 为 一 系列 可 并 行 执行 的 处 理 步 又。 由 于 单独 的 核 或 处 理 器 可 以 执行 每 个 变换 ，， 
因此 该 模式 允许 非常 快速 的 数据 人 处理。 

当然 这 些 模式 可 以 结合 使 用 ， 并 有 目 通 常 可 以 看 到 ， 在 一 个 系统 中 存在 多 种 模式 。 例 如 ， 
当 使 用 环境 控制 模式 时 ， 非 常 普 遍 的 是 对 于 竺 监控 的 执行 器 使 用 观察 反应 模式 。 在 执行 希 失 
效 的 事件 中 ， 系 统 可 以 通过 显示 一 条 警告 信息 、 关 闭 执行 希 和 切换 到 备份 系统 等 对 此 事件 做 
出 反应 。 

此 处 讨论 的 模式 是 描述 能 人 式 系 统 的 总 体 结 构 的 体系 结构 模式 。Douglass ( Douglass 
2002 ) 描述 了 用 于 帮助 编程 者 做 出 更 详细 设计 决策 的 更 低层 的 实时 系统 设计 模式 。 这 些 模 式 
是 关于 执行 控制 、 通 信 、 资 源 分 配 、 安 全 性 和 可 靠 性 等 方面 的 。 

这 些 体系 结构 模式 是 嵌入 式 系统 设计 的 起 点 ; 然而 它们 并 不 是 设计 模板 。 如 果 当 成 模板 
使 用 ， 就 会 设计 出 低 效 的 过 程 体 系 结构 。 因 此 ， 需 要 优化 过 程 体系 结构 ， 从 而 确保 系统 没有 
太 多 的 过 程 。 我 们 也 应 该 确保 系统 中 的 过 程 、 传 感 锋 和 执行 器 之 间 有 一 个 清晰 的 联系 。 


21.2.1 观察 和 反应 模式 


监控 系统 是 做 人 式 实时 系统 的 一 个 重要 类 别 。 监 控 系 统 通过 一 组 传感器 来 检查 它 的 环 
境 ， 并 且 通 常 以 某 种 方式 显示 环境 的 状态 。 这 可 以 是 在 内 置 的 屏幕 上 显示 ， 或 者 是 在 特定 仪 
器 显示 器 上 显示 或 者 是 远程 显示 。 如 果 系 统 检测 到 异常 事件 或 异常 传 感 需 状态 ， 监 控 系 统 就 
会 采取 某 些 行动 。 通 常会 产生 一 个 警报 提醒 操作 员 注 意 所 发 生 的 事件 : 有 时 系统 可 以 启动 一 
些 其 他 的 预防 动作 ， 例 如 关闭 系统 以 阻止 其 受到 损害 。 

观察 和 反应 模式 ( 见 图 21-6 和 图 21-7) 是 常用 于 监控 系统 的 模式 。 观 测 传 感 器 的 值 ， 
根据 这 些 值 ， 系 统 以 某 种 方式 做 出 反应 。 监 控 系 统 由 多 个 观察 和 反应 模式 的 实例 组 成 ， 系 统 
中 的 每 种 传感器 都 有 一 个 模式 的 实例 。 依 据 系 统 的 需求 ， 我 们 可 以 通过 合并 进程 来 优化 设计 
(例如 ， 可 以 用 单个 显示 进程 显示 来 自 所 有 不 同类 型 的 传感器 的 信息 )。 






对 一 组 相同 类 型 的 传感器 的 输入 值 进行 收集 和 分 析 。 这 些 值 以 某 种 方式 显示 出 来 。 如 
果 传 感 器 的 值 表示 有 某 个 异常 状况 发 生 ， 和 那么 就 会 启动 一 个 行动 来 提醒 操作 员 注 意 ， 在 
某 些 情况 下 ， 还 会 采取 某 种 行动 来 响应 这 个 异常 值 


图 21-6 观察 和 反应 模式 










描述 







w 
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这 里 给 出 一 个 使 用 该 模式 的 例子 ， 考 虑 将 安装 在 大 厦 中 的 防盗 报警 系统 的 设计 。 

准备 实现 一 个 软件 系统 ， 该 软件 系统 
是 安装 在 商务 大 厦 中 的 防盗 报警 系统 的 一 部 
分 。 它 使 用 多 种 不 同类 型 的 传感器 。 包 括 : 
每 个 房间 中 的 运动 传感器 ， 检 查 走廊 门 开启 
的 门 传感器 ， 安 装 在 一 楼 的 能 检测 窗户 被 破 
坏 的 窗 传感器 。 

当 传 感 器 检测 到 入 侵 者 存在 时 ， 系 统 自 
动 呼叫 当地 警察 局 ， 使 用 声音 合成 器 报告 警 
报 的 位 置 。 系 统 打 开 活 动 传感器 周围 的 房间 





内 的 灯 ， 并 发 出 声音 警报 。 传 感 器 系统 使 用 we 其 他 没 各 
` F 敖 报 

主 电源 供电 但 也 配备 一 个 备用 电池 。 使 用 一 

个 单独 的 电力 电路 监视 器 监视 电路 的 电压 ， 本 观察 和 反应 的 进程 结构 
从 而 发 现 掉 电 现象 。 在 电压 降低 到 某 个 水 平 

时 触发 报警 系统 。 


图 21-8 显示 了 报警 系统 的 进程 体系 结构 。 图 中 ， 箭 头 表示 从 一 个 进程 发 送 到 发 一 个 进 
程 的 信号 。 这 个 系统 是 一 个 没有 严格 时 序 要 求 的 “ 软 ” 实 时 系统 。 传 感 絮 不 需要 检测 高 速 事 
件 ， 只 需要 检测 是 否 有 人 出 现 ， 因 此 每 秒 只 需要 轮 询 它们 2 ~ 3 次 。21.3 市 将 介绍 该 系统 的 


时 序 需 求 。 
门 传感器 进程 控制 面板 进程 测试 进程 


运动 探测 需 进 程 
系统 控制 器 控制 台 显 示 进 程 
电压 监视 天 进程 
电源 管理 进程 


窗 传 感 器 进程 
( praa) ( amen ) 外 部 警报 进程 


图 21-8 e) Canem 吉 构 


在 图 21-1 中 已 经 介绍 了 报警 系统 的 激励 和 啊 应 。 这些 啊 应 是 系统 设计 的 起 点 。 在 设计 
中 使 用 了 观察 和 反应 模式 。 存 在 与 每 种 传 感 顺 相关 联 的 观察 者 进程 和 与 每 种 反应 类 型 相关 联 
的 反应 者 进程 。 还 有 一 个 单个 分 析 进 程 检 查 来 自 所 有 传 感 融 的 数据 。 模 式 中 的 所 有 显示 进程 
被 合并 为 一 个 显示 进程 。 


21.2.2 ”环境 控制 模式 


实时 舱 入 式 软 件 最 为 广泛 的 使 用 可 能 是 在 控制 系统 中 。 在 这 些 系 统 中 ， 软 件 基于 来 目 设 
备 所 处 的 环境 的 激励 来 控制 设备 的 运行 。 例 如 ， 汽 车 防滑 刹车 系统 监控 汽车 的 轮子 和 刹车 系 






a 
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统 (系统 的 环境 )， 观 察 给 予 制 动 压 力 时 轮子 打滑 的 信和 号。 如果 出 现 这 种 情况 ， 系 统 调整 制 
动 压力 ， 阻 止 车 轮 抱 死 ， 从 而 降低 侧 滑 的 可 能 性 。 

控制 系统 会 使 用 环境 控制 模式 ， 即 包含 传感器 进程 和 执行 器 进程 的 通用 控制 模式 。 
图 21-9 描述 了 环境 控制 模式 ， 它 的 进程 体系 结构 如 图 21-10 所 示 。 该 模式 的 一 个 变种 是 省 
略 了 显示 进程 的 体系 结构 。 在 不 要 求 用 户 干预 或 控制 频率 很 高 以 至 于 显示 无 意义 的 情况 下 ， 
使 用 此 变种 模式 。 


环境 控制 

系统 分 析 来 自 一 组 采集 系统 环境 数据 的 传感器 的 信息 。 进 一 步 的 信息 也 可 能 是 来 自 
连接 到 系统 的 执行 器 的 状态 信息 。 基 于 传感器 和 执行 器 的 数据 ， 传 送 控制 信号 到 执行 
器 ， 进 而 引起 系统 环境 的 改变 。 关 于 传感器 的 值 和 执行 器 的 状态 的 信息 会 显示 出 来 


Ea 
| 激励。 ”| 连接 到 系统 上 的 传感器 的 值 以 及 系统 执行 器 的 状态 
"o 


名 W 
描述 
激励 
啊 应 
进程 


给 执行 器 的 控制 信号 ， 显 示 信 息 
监视 器 (Monitor)， 控 制 (Control)， 显 示 (Display)， 执 行家 驱动 (Actuator Driver), 
执行 器 监视 器 (Actuator Monitor ) 


控制 系统 





图 21-9 环境 控制 模式 





图 21-10 ”环境 控制 模式 的 进程 结构 


这 个 模式 可 以 作为 控制 系统 设计 的 基础 。 基 本 的 做 法 是 针对 每 一 个 执行 如 (或 执行 如 类 
型 ) 给 出 一 个 环境 控制 模式 的 实例 。 进 一 步 的 优化 做 法 是 减少 进程 的 数量 。 例 如 ， 可 以 合并 
执行 器 监视 进程 和 执行 器 控制 进程 ， 或 者 对 几 个 执行 器 使 用 一 个 监视 和 控制 进程 。 选 择 的 优 
化 取决 于 时 序 需求 。 可 能 监控 传感器 比 发 送 控制 信号 更 频 系 ， 在 此 情形 下 ， 结 合 控制 和 监控 
进程 就 是 不 可 行 的 了 。 在 执行 怖 控制 和 执行 从 监 控 进 程 之 间 也 会 存在 二 接 反 饿 。 这 就 允许 我 
们 通过 执行 器 控制 进程 给 出 细 粒 度 的 控制 决策 。- 

图 21-11 示意 了 该 模式 是 如 何 使 用 的 。 这 是 一 个 汽车 条 车 系统 控制 右 的 例子 。 设 计 的 起 
始点 是 针对 系统 中 的 每 种 执行 项 类 型 给 出 一 个 模式 实例 。 在 这 有 4 个 执行 项 ， 每 一 个 控制 一 
个 车 轮 上 的 制 动 。 把 单个 传感器 进程 结合 到 一 个 监视 所 有 车 轮 的 车 轮 监 视 进 程 ， 该 监视 进程 
监视 各 个 车 轮 上 的 传感器 。 传 感 器 进程 监视 每 一 个 车 轮 状 态 ， 判 断 车 轮 是 转动 还 是 抱 死 。 一 
个 单独 的 进程 监视 驾驶 员 踩 刹车 踏板 的 压力 。 
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防滑 制 动 系统 包括 防滑 特征 ， 在 刹车 时 如 果 传 感 器 提示 车 轮 抱 死 则 触发 此 特征 ， 这 意味 
着 在 路 面 和 轮胎 之 间 存在 着 不 完全 摩擦 hits ead 
力 ; 换 名 话说， 车 正在 滑动 。 如 果 轮 子 
被 抱 死 ， 司 机 就 不 能 控制 轮子 。 为 了 对 
抗 这 一 点 ， 系 统 给 此 轮子 的 制动器 发 送 
一 个 快 系列 的 开关 信号 ， 人 允许 轮子 转动 
并 且 接 受 控制 。 

车 轮 监视 器 监视 每 个 车 轮 是 否 旋转 。 
如 果 某 个 车 轮 打 滑 (未 旋转 )， 车 轮 监视 
器 将 通知 分 析 进程 。 该 进程 随后 发 信号 
通知 与 打滑 车 轮 关联 的 进程 ， 启 动 防滑 
制 动 。 





车 轮 传感器 
21.2.3 ”处 理 管道 模式 图 21-11 -防滑 制 动 系统 的 控制 系统 体系 结构 


许多 实时 系统 主要 是 从 系统 环境 采集 数据 ， 然 后 将 数据 从 原始 数据 表示 转换 成 系统 便 
于 分 析 和 处 理 的 数字 表示 。 实 时 系统 也 可 以 将 数字 数据 转换 成 模拟 数据 ， 然 后 发 送 给 它 的 环 
境 。 例 如 ， 软 件 收 音 机 接收 表示 无 线 电 传播 的 数值 数据 输入 包 ， 并且 将 这 些 数据 转换 成 人 们 
能 听 到 的 声音 信和 号 。 

这 些 系统 中 ， 数 据 处 理 必须 得 到 快速 执行 。 否 则 ， 输 入 数据 可 能 丢失 并 且 输 出 符号 可 能 
由 于 基本 信息 的 丢失 而 被 破坏 。 处 理 管道 模式 使 得 这 种 快速 处 理 成 为 可 能 。 它 把 所 需要 的 数 
据 处 理 分 解 成 一 系列 独立 变换 ， 且 每 个 变换 可 以 由 一 个 独立 的 进程 来 执行 。 这 对 于 使 用 多 重 
处 理 器 和 多 核 处 理 器 的 系统 是 一 个 非常 高 效 的 体系 结构 。 管 道中 每 一 个 进程 被 分 配 到 单独 的 
处 理 需 或 者 核 上 运行 ， 因 此 处 理 步 又 能 并 行 执行 。 

图 21-12 是 对 数据 管道 模式 的 简洁 描述 ， 图 21-13 显示 了 这 个 模式 的 进程 体系 结构 。 注 
意 ， 进 程 能 够 产生 和 消费 信息 。 如 同 21.1 节 讨 论 的 ， 这 些 进程 利用 同步 缓冲 区 来 交换 信息 。 
这 就 允许 生产 者 和 消费 者 进程 以 不 同 的 速度 工作 而 无 数据 损失 。 
















处 理 管道 使 数据 以 序列 形式 从 管道 的 一 端 移动 到 另 一 端 。 这 些 处 理 通 
常 关 联 到 一 些 同 步 缓冲 区 上 ， 人 允许 生产 者 和 消费 者 进程 以 不 同 的 速度 运 
行 。 标 志 管 道 完成 的 是 显示 或 数据 存储 ,或 者 是 管道 连接 到 一 个 执行 融 
T 
a 
T 


PA 21-12 处理 管道 模式 






使 用 场合 


Eyre 已 消费 
的 数据 的 数据 


生产 者 进程 缓冲 区 进程 消费 者 进程 


图 21-13 处理 管道 模式 的 进程 结构 
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高 速 数据 获取 系统 是 使 用 管道 处 理 模式 的 系统 的 一 个 例子 。 数 据 获 取 系统 从 传 感 右 采集 
数据 ， 然 后 进行 后 续 的 处 理 和 分 析 。 这 些 系统 可 以 用 于 这 样 的 情形 ， 即 传感器 从 系统 环境 中 
采集 大 量 数 据 但 不 可 能 或 者 是 没有 必要 进行 实时 处 理 ， 而 是 采集 并 存储 以 便 之 后 用 于 分 析 。 
数据 获取 系统 通常 用 在 科学 实验 和 过 程控 制 系统 中 。 过 程控 制 系统 中 的 物理 过 程 ， 例 如 化 学 
反应 ， 是 非常 快速 的 。 在 这 些 系统 中 ， 传 感 此 快速 生成 数据 ,数据 获取 系统 需要 确保 在 传 感 
需 值 改变 之 前 将 传感器 的 读数 采集 出 来 。 

图 21-14 是 一 个 作为 核反应 堆 中 控制 软件 一 部 分 的 数据 获取 系统 的 简化 模型 。 这 是 一 个 
从 监视 反应 堆 中 中 子 通 量 ( 即 中 子 密度 ) 的 传感器 采集 数据 的 系统 。 传 感 器 数据 放置 在 一 个 
缓冲 区 中 ， 之 后 数据 从 该 缓冲 区 提取 和 处 理 。 平 均 通 量 水 平 显 示 在 控制 台 显 示 器 上 ， 并 且 存 
储 起 来 为 以 后 处 理 。 


中 子 通 量 传感器 






传感器 标识 符 estan 
和 通 量 数值 


图 21-14 中 子 通 量 数据 获取 


21.3 时序 分 析 


正如 本 章 引言 中 所 讨论 的 ， 实 时 系统 的 正确 性 不 仅 取决 于 其 输出 的 正确 性 ， 而 且 还 取决 
于 产生 这 些 输出 的 时 间 。 因 此 ， 时 序 分 析 是 艇 入 式 实时 软件 开发 过 程 中 的 重要 活动 。 在 这 样 
的 分 析 中 ， 你 需要 计算 系统 中 每 个 过 程 必须 执行 的 频率 ， 以 确保 所 有 输入 都 得 到 处 理 ， 并 且 
所 有 系统 响应 及 时 生成 。 时 序 分 析 的 结果 决定 每 个 进程 应 该 执行 的 频率 ， 以 及 实时 操作 系统 
应 该 如 何 调度 这 些 进程 。 

当 系 统 必须 混合 处 理 周期 性 和 非 周 期 性 的 激励 和 啊 应 时 ， 实 时 系统 的 时 序 分 析 是 相当 
困难 的 。 因 为 非 周 期 性 激励 是 不 可 预测 的 ， 你 必须 假设 这 些 激励 发 生 并 因此 在 任何 特定 时 间 
要 求 服 务 的 可 能 性 。 这 些 假设 可 能 是 不 正确 的 ， 交 付 后 的 系统 性 能 可 能 不 足 。Cooling 的 书 
(Cooling 2003 ) 讨论 了 考虑 非 周 期 事件 的 实时 系统 性 能 分 析 技 术 。 

随 着 计算 机 处 理 速度 越 来 越 快 ， 在 许多 系统 中 ， 仅 使 用 周期 性 激励 的 设计 已 成 为 可 能 。 
当 处 理 器 缓慢 时 ， 就 必须 使 用 非 周 期 性 激励 以 确保 关键 事件 在 其 截止 时 间 之 前 被 处 理 ， 而 处 
理 延 迟 通常 给 系统 带 来 损失 。 例 如 ， 骨 人 式 系统 中 的 电源 供应 故障 可 能 意味 着 系统 必须 在 非 
常 短 的 时 间 (例如 50ms) 内 以 受 控 的 方式 关闭 所 连接 的 设备 。 这 可 以 被 实现 为 “电源 故障 ” 
中 断 。 然 而 ， 这 也 可 以 使 用 频繁 运行 并 检查 电源 的 周期 性 进程 来 实现 。 只 要 进程 调用 之 间 的 
时 间 短 ， 在 电源 故障 引起 损坏 之 前 ， 仍 然 有 时 间 执 行 系统 的 受 控 关 闭 。 因 此 ， 本 节 只 讨论 周 
期 性 进程 的 时 序 问题 。 

当 分 析 咀 入 式 实时 系统 的 时 序 需 求 并 设计 系统 满足 这 些 需 求 的 时 候 ， 需 要 考虑 以 下 3 个 
关键 因素 。 

1. 最 后 时 限 ， 对 激励 做 出 必要 处 理 和 系统 产生 相应 啊 应 的 时 间 。 如 果 系 统 不 能 满足 最 后 
时 限 ， 那 么 ， 若 它 是 硬 实时 系统 ， 则 这 是 系统 失效 ; 震 它 是 软 实时 系统 ， 这 会 导致 系统 服务 
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降级 。 

2. 频率 ， 进 程 每 秒 必须 执行 的 次 数 ， 以 确保 它 总 能 满足 其 最 后 时 限 。 

3. 执行 时 间 ， 处 理 激 励 和 产生 啊 应 所 需 的 时 间 。 执 行 时 间 并 不 总 是 相同 的 ， 这 是 由 于 
代码 的 条 件 执行 、 等 竺 其 他 进程 的 延 妈 等 原因 。 因 此 ， 必 须 同 时 考虑 进程 的 平均 执行 时 间 和 
该 进程 的 最 坏 情况 执行 时 间 。 最 坏 情 况 执行 时 间 是 进程 执行 所 需 的 最 大 时 间 。 在 硬 实时 系统 
中 ， 可 能 必须 基于 最 坏 情况 执行 时 间 做 出 假设 ， 以 确保 不 会 错过 最 后 时 限 。 在 软 实时 系统 
中 ， 可 以 基于 平均 执行 时 间 计 算 。 

为 了 继续 电源 失效 的 示例 ， 让 我 们 计算 将 设备 电源 从 主 电 源 切 换 到 备用 电池 的 进程 的 最 
坏 情 况 执 行 时 间 。 图 21-15 显示 了 系统 中 的 事件 的 时 间 线 。 


电压 正常 
电压 水 平 
RI R2 R3 R4 
临界 
电压 水 平 
电源 切换 备用 电池 
4ms 8ms l2ms 1l6ms 20ms 24ms 28ms 32ms 36ms 40ms 
时 间 


图 21-15 电源 失效 的 时 序 分 析 


1. 假定 主 电 源 失 效 事件 之 后 ， 所 提供 的 电压 下 降 到 设备 可 能 被 损坏 的 水 平 需要 50ms。 
因此 ， 必 须 在 50ms 内 激活 并 运行 备用 电池 。 通 常 ， 会 允许 存在 误差 范围 ， 因 此 ， 由 于 设备 
的 物理 变化 ， 应 该 设置 40ms 作为 最 短 时 限 。 这 意味 着 所 有 设备 必须 在 40ms 内 在 备用 电池 
上 运行 。 

2. 但 是 ， 备 用 电池 系统 无 法 立即 激活 。 从 启动 备用 电池 到 电池 完全 运行 需要 16ms。 这 
意味 着 可 用 于 检测 电源 故障 和 启动 备用 电池 系统 的 时 间 为 24ms。 

3. 有 一 个 进程 被 调度 为 每 秒 运行 250 次 ， 即 每 4ms 运行 一 次 。 该 进程 假定 ， 如 果 在 一 
次 读 取 之 间 存 在 显著 的 电压 下 降 并 且 持 续 3 次 读 取 ， 则 存在 电源 故障 。 容 许 这 个 时 间 是 为 了 
不 使 临时 波动 而 导致 切换 到 电池 备份 系统 。 

4. 在 上 述 时 间 线 中 ， 电 源 在 一 次 读 取 完成 后 立即 失效 。 因 此 ，R1 读 取 是 电源 故障 检查 
的 开始 读 取 。 对 于 R2 ~ R4 读 取 ， 电 压 继续 下 降 ， 因 此 假定 电源 发 生 失 效 。 这 是 最 糟 的 可 
能 情况 ， 这 种 情况 中 传感器 检查 之 后 立即 发 生 电源 失效 事件 ， 因 此 从 该 事件 起 已 经 过 去 了 
l6ms。 

5. 在 此 阶段 ， 开 始 进行 切换 到 备用 电池 的 进程 。 由 于 备用 电池 需要 16ms 才能 运行 ， 此 
过 程 的 最 坏 情况 执行 时 间 为 gms， 因 此 可 以 达到 40ms 的 最 后 时 限 。 

实时 系统 中 时 序 分 析 的 起 始点 是 时 序 需 求 ， 它 应 该 列 出 系统 中 每 个 所 需 啊 应 的 最 后 时 
限 。 图 21-16 展示 了 21.2.1 节 中 讨论 的 办 公 大 楼 防盗 警报 系统 可 能 的 时 序 需求 。 为 了 简化 这 
个 例子 ， 忽 略 由 系统 测试 程序 和 外 部 信号 产生 的 激励 ， 以 及 在 发 生 假 报 警 时 重 置 系统 。 这 意 
味 着 系统 仅 处 理 两 种 类 型 的 激励 ; 
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激励 / 响应 时 序 需 求 
声音 警报 声音 警报 应 在 传感器 产生 警报 后 0.5s 内 打开 
对 警察 的 呼叫 应 在 传感器 产生 警报 后 2s 内 开始 
KE s 


PEAST RPA E A E H 
到 备用 电源 的 切换 必须 在 50ms 的 时 限 内 完成 


语音 合成 名 在 传感器 产生 警报 后 2s 内 ， 应 该 有 合成 信息 
每 个 窗 警报 应 每 秒 被 轮 询 两 次 


图 21-16 防盗 警报 系统 的 时 序 需 求 


1. 通过 观察 大 于 20% 的 电压 下 降 来 检测 电源 失效 。 所 需 的 啊 应 将 电路 切换 到 备用 电源 ， 
通过 发 送信 和 号 给 电子 电源 切换 装置 ， 切 换 主 电 源 到 备用 电池 。 

2. 人 侵 者 警报 是 由 某 个 系统 传 感 大 产生 的 激励 。 对 该 激励 的 啊 应 是 计算 被 激活 传感器 的 
房间 号 码 ， 建 立 对 警察 的 呼叫 ， 局 动 语音 合成 器 以 管理 呼叫 ， 并 且 开 局 该 区 域 中 的 可 听 到 的 
入 侵 警 报 和 建筑 灯光 。 

如 图 21-16 所 示 ， 应 该 分 别 列 出 每 类 传 感 硕 的 时 序 约 束 ， 即 使 (如 这 里 的 情况 ) 它们 是 
相同 的 。 通 过 分 别 考虑 它们 ， 为 未 来 的 变化 留 下 了 空间 ， 并 且 使 得 计算 每 秒 控 制 进程 所 需 执 
行 的 次 数 更 容易 。 

下 一 个 设计 阶段 是 将 系统 功能 分 配 到 并 发 进程 。4 种 类 型 的 传 感 带 必须 周期 性 地 轮 询 : 
HEERA, MERA., Be lie cat; 每 种 传 感 絮 都 具有 相关 联 的 进程 。 通 常 ， 
与 这 些 传 感 器 相关 联 的 进程 将 非常 快 地 执行 ， 因 为 它们 做 的 仅仅 是 检查 传感器 是 否 已 经 改变 
其 状态 (例如 ， 从 关闭 到 打开 )。 可 以 合理 地 假设 ,检查 和 评估 一 个 传 感 右 状态 的 执行 时 间 
是 小 于 lms 的 。 

为 了 确保 满足 时 序 需 求 定 义 的 最 后 时 限 ， 接 下 来 必须 决定 相关 进程 运行 的 频率 以 及 在 进 
程 的 每 个 执行 过 程 中 应 检查 多 少 个 传 感 带 。 在 频率 和 执行 时 间 之 则 存在 明显 的 权衡 。 

1. 检测 状态 变化 的 最 后 时 限 为 0.25s， 这 意味 着 每 个 传感器 必须 每 秒 检查 4 次 。 如 果 在 
每 个 进程 执行 期 间 检查 一 个 传感器 ， 那 么 如 果 及 个 特定 类 型 的 传 感 缮 ， 那 么 必须 调度 此 
进程 每 秒 运行 4N 次 以 确保 在 最 后 时 限 内 检查 所 有 传感器 。 

2. 如 果 在 每 个 进程 执行 期 间 检 查 4 个 传感器 ， 则 执行 时 间 增 加 到 约 4ms， 但 是 只 需要 运 
行 该 进程 X 次 人 来 满足 时 序 需求 。 

在 这 种 情况 下 ， 因 为 系统 需求 定义 了 两 个 或 更 多 传感器 被 激活 时 的 动作 ， 最 好 的 策略 是 
分 组 检查 传感器 ， 其 中 分 组 依据 是 传感器 的 物理 接近 度 。 如 果 人 侵 者 已 经 进入 建筑 物 ， 则 可 
能 相 邻 的 传感器 是 被 激活 的 。 

完成 时 序 分 析 后 ， 你 可 以 使 用 有 关 执 行 频率 及 其 预期 执行 时 间 的 信息 对 进程 模型 进 
行 注释 ( 见 图 21-17)。 这 里 ， 对 周期 性 进程 用 它们 的 频率 注释 ， 为 啊 应 激励 而 局 动 的 
进程 注释 为 R， 测 试 进 程 是 后 台 过 程 ， 注 释 为 B。 该 后 台 进 程 仅 在 处 理 郝 时 间 空 闲 时 运 
行 。 通 常 ， 进 程 频率 较 低 的 系统 设计 是 更 简单 的 。 执 行 时 间 表 示 进 程 所 需 的 最 坏 情况 执行 
时 间 。 

设计 进程 的 最 后 一 步 是 设计 一 个 调度 系统 ， 以 确保 一 个 进程 总 是 被 调度 为 满足 其 最 后 时 
限 。 只 有 知道 所 使 用 的 实时 操作 系统 (Operating System, OS) 支持 的 调度 方法 ， 才 能 做 到 
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这 一 点 (Burns 和 Wellings 2009). SEHRE A Se P AY Val EE Fe TE A EAT Ti) A e cb i oP Ae 
进程 。 时 间 可 以 是 固定 的 ， 或 者 它 可 以 根据 进程 的 优先 级 而 变化 。 


50 Hz (0.5 ms) 


窗 传感器 进程 


50 Hz (0.5 ms) B 
门 传感器 进程 控制 面板 进程 测试 进程 
50 Hz (1 ms) 
Tn "2 250 Hz 
iB SR ARE RE (1 ms) 50 Hz (1 ms) 
250 Hz (0.5 ms) 系统 控制 器 控制 台 显 示 进 程 
电压 监视 进程 
R (20 ms) 
50 Hz (0.5 ms) _ 电源 管理 进程 


R (5 ms) R (5 ms) R (10 ms) 
声音 警报 进程 照明 控制 进程 外 部 警报 进程 


图 21-17 警报 进程 时 序 


在 分 配 进程 优先 级 时 ， 必 须 考虑 每 个 进程 的 最 后 时 限 ,以 使 有 较 短 时 限 的 进程 获得 处 
理 时 间 ， 来 满足 它们 的 最 后 时 限 。 例 如 ， 防 盗 报 警 系 统 中 的 电压 监视 进程 需要 进行 调度 ， 以 
便 可 以 检测 电压 下 降 ， 并 在 系统 失效 前 切换 到 备用 电源 。 因 此 ， 这 应 当 比 检查 传 感 带 值 的 
进程 具有 更 高 的 优先 级 ， 这 是 由 于 与 后 者 的 预期 执行 时 间 相 比 ， 它 们 具有 相当 宽松 的 最 后 
时 限 。 


21.4 实时 操作 系统 


大 多 数 应 用 系统 的 执行 平台 是 管理 共享 资源 并 提供 诸如 文件 系统 和 运行 时 进程 管理 的 特 
征 的 操作 系统 。 然 而 ， 常 规 操 作 系 统 中 的 大 量 功能 占用 了 大 量 空间 并 且 减 慢 了 程序 的 操作 。 
而 且 ， 系 统 中 的 进程 管理 特征 可 能 设计 为 不 允许 对 进程 调度 进行 细 粒 度 控 制 。 

由 于 这 些 原因 ， 诸 如 Linux 和 Windows 等 标准 操作 系统 通常 不 用 作 实 时 系统 的 执行 平 
台 。 非 常 简 单 的 伐 人 式 系统 可 以 被 实现 为 “ 裸 机 ”系统 。 系 统 提 供 自 己 的 执行 文 持 ， 因 此 
包括 系统 启动 和 关闭 ， 进程 和 资源 管理 以 及 进程 调度 。 然 而 ， 更 通常 的 情形 是 ， 姐 人 式 应 
用 建立 在 实时 操作 系统 (Real-time Operating System, RTOS) 之 上 ， 实 时 操作 系统 是 提供 
实时 系统 所 需 特征 的 高 效 操作 系统 。 实 时 操作 系统 的 例子 有 Windows Embedded Compact、 
VxWorks 和 RTLinux. 

实时 操作 系统 管理 实时 系统 的 进程 和 资源 分 配 。 它 启动 和 停止 进程 ， 以 便 激励 可 以 被 处 
理 ， 它 还 分 配 内 存 和 处 理 器 资源 。 实 时 操作 系统 的 构件 〈 见 图 21-18 ) 取决 于 正在 开发 的 实 
时 系统 的 大 小 和 复杂 性 。 对 于 除 最 简单 系统 之 外 的 所 有 系统 ， 它 们 通常 包括 : 

1. 实时 时 钟 ， 提 供 定 期 调度 进程 所 需 的 信息 。 

2. 中 断 处 理 程序 ， 如 果 系 统 支 持 中 断 的 话 ， 其 管理 非 周 期 性 服务 请 求 。 

3. 调度 (Ah) 程序 ， 负 责 检查 可 执行 的 进程 ， 并 选择 其 中 一 个 进程 执行 。 

4. 资源 管理 器 ， 分 配 适 当 的 内 存 和 处 理 需 资源 给 已 经 被 调度 执行 的 进程 。 

5. 分 配 右 ， 负 责 启 动 进程 的 执行 。 
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中 断 处 理 程序 


可 用 资源 列表 | 


处 理 器 列表 


执行 过 程 
图 21-18 实时 操作 系统 的 构件 


用 于 诸如 过 程控 制 或 电信 系统 等 大 型 系统 等 实时 操作 系统 ， 可 能 有 额外 设施 ， 即 磁盘 
存储 管理 ， 检 测 和 报告 系统 故障 的 故障 管理 设施 ， 以 及 支持 实时 应 用 动态 重 配 置 的 配置 管 
HAF o 


21.4.1 进程 管理 


实时 系统 必须 快速 处 理 外 部 事件 ， 并 且 在 茶 些 情况 下 ， 满 足 处 理 这 些 事件 的 最 后 时 限 。 
因此 ， 事 件 处 理 进程 必须 被 调度 及 时 执行 以 检测 事件 ， 还 必须 给 它们 分 配 足 够 的 处 理 需 资源 
以 满足 其 最 后 时 限 。 实 时 操作 系统 中 的 进程 管理 只 负责 选择 要 执行 的 进程 ， 分 配 处 理 器 和 内 
存 资 源 ， 以 及 局 动 和 停止 处 理 吕 上 的 进程 执行 。 

进程 管理 顺 必 须 管 理 具有 不 同 优先 级 的 进程 。 对 于 某 些 激励 ， 例 如 与 某 些 异常 事件 相 
关 的 激励 ， 它 们 的 处 理 必 须 在 特定 的 时 间 期 限 内 完成 。 如 果 有 更 关键 的 进程 需要 服务 ， 则 可 
以 安全 地 延迟 其 他 进程 。 因 此 ， 实 时 操作 系统 至 少 必须 能 够 为 系统 进程 管理 以 下 两 个 优先 
等 级 。 

1. 时 钟 等 级 。 此 优先 等 级 分 配给 周期 性 进程 。 

2. 中 断 等 级 。 这 是 最 高 优先 等 级 。 它 被 分 配给 需要 非常 快速 啊 应 的 进程 。 这 些 进程 之 一 
将 是 实时 时 钟 进程 。 如 果 系 统 不 支持 中 断 ， 则 不 需要 此 进程 。 

可 以 将 进一步 的 优先 等 级 分 配给 不 需要 满足 实时 时 限 的 后 台 进 程 (例如 自 检验 进程 )。 
这 些 进程 被 调度 在 处 理 需 容量 可 用 时 执行 。 

周期 性 进程 必须 在 特定 的 时 间 间 隔 执行 以 用 于 数据 获取 和 执行 天 控制 。 在 大 多 数 实时 系 
统 中 ， 将 会 有 几 种 类 型 的 周期 性 进程 。 使 用 应 用 程序 中 指定 的 时 序 需求 ,实时 操作 系统 安排 
周期 性 进程 的 执行 ， 以 便 它 们 都 能 满足 其 最 后 时 限 。 

操作 系统 对 周期 性 进程 管理 采取 的 操作 如 图 21-19 所 示 。 调 度 程 序 检查 周期 性 进程 列表 
并 选择 要 执行 的 进程 。 选 择 取 决 于 进程 优先 级 、 进 程 周 期 、 预 期 执行 时 间 和 就 绪 进 程 的 最 后 
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时 限 。 有 时 ， 具 有 不 同时 限 的 两 个 进程 应 在 同一 时 间 点 执行 。 在 这 种 情况 下 ， 必 须 延 迟 其 中 
一 个 进程 。 通 稼 ， 系 统 将 选择 延迟 具有 最 长 时 限 的 进程 。 


进程 队列 内 存 映 射 处 理 器 列表 就 绪 列表 







a ot ane 
Pci ë a | 









i be ae í 
A j 


aa | ETRE 
图 21-19 ”实时 操作 系统 启动 一 个 进程 所 需 的 操作 


必须 快速 响应 异步 事件 的 进程 可 能 是 中 断 驱 动 的 。 计 算 机 的 中 断 机 制导 致 控制 转移 到 预 
先决 定 的 内 存 位 置 。 该 位 置 包含 一 条 跳 转 到 简单 快速 中 断 服务 例 程 的 指令 。 服 务 例 程 使 进 一 
步 的 中 断 无 效 以 避免 自身 中 断 。 然 后 ， 它 找 出 中 新 和 局 动 的 原因 ， 并 以 高 优先 级 启动 处 理 引 
起 中 断 的 激励 的 进程 。 在 一 些 高 速 数 据 获取 系统 中 ， 中 斯 处 理 程 序 将 表示 中 断 信号 可 用 的 数 
据 保 存在 缓冲 区 中 以 备 稍 后 处 理 。 然 后 中 断 再 次 被 激活 ,并且 控制 被 返回 给 操作 系统 。 

在 任何 一 个 时 间 ， 可 以 执行 具有 不 同 优先 级 的 几 个 进程 。 进 程 调度 程序 实现 决定 进程 执 
行 顺 序 的 系统 调度 策略 。 有 两 种 常用 的 调度 策略 。 

1. 非 抢 占 式 调度 。 在 进程 被 调度 执行 之 后 ， 它 运行 到 完成 或 直到 它 由 于 某 种 原因 被 阻 
塞 ， 例 如 等 待 输入 。 如 果 存 在 具有 不 同 优 先 级 的 进程 ， 并 且 高 优先 级 进程 必须 等 待 低 优 先 级 
进程 完成 ， 则 这 可 能 导致 问题 。 

2. 抢占 式 调度 。 如 果 较 高 优先 级 的 进程 需要 服务 ， 则 可 以 停止 当前 执行 进程 的 执行 。 较 
高 优先 级 进程 优先 抢占 较 低 优先 级 进程 的 执行 ， 并 被 分 配给 处 理 器 。 

在 这 些 策 略 中 ， 已 经 开发 了 不 同 的 调度 算法 。 包 括 循环 调度 ， 其 中 每 个 进程 轮流 执行 ; 
速率 单调 调度 ， 其 中 具有 最 短 周 期 (最 高 频率 ) 的 进程 被 赋予 优先 级 ; 最 短期 限 优先 调度 ， 
其 中 队列 中 具有 最 短 时 限 的 进程 被 调度 (Burns and Wellings 2009 ) 。 

有 关 要 执行 进程 的 信息 被 传递 给 资源 管理 器 。 资 源 管理 器 分 配 内 存 ， 并 且 在 多 处 理 器 系 
统 中 ， 还 向 该 进程 添加 处 理 器 。 然 后 该 进程 被 放 在 “就 绪 列 表 ” 中 ， 这 是 一 个 包含 准备 好 执 
行 的 进程 的 列表 。 当 处 理 器 完成 执行 进程 并 变 得 可 用 时 ， 分 配器 被 调用 。 它 扫描 就绪 列表 以 
查找 能 在 可 用 处 理 器 上 执行 的 进程 并 开始 执行 它 。 


要 点 


© 嵌入 式 软件 系统 是 硬件 /软件 系统 的 一 部 分 ， 可 对 环境 中 的 事件 做 出 反应 。 软 件 被 
“ 艇 入 ”在 硬件 中 。 徐 入 式 系统 通常 是 实时 系统 。 

。 实 时 系统 是 必须 实时 响应 事件 的 软件 系统 。 系 统 正确 性 不 仅 取决 于 其 产生 的 结果 ， 
而 且 取 决 于 产生 这 些 结果 的 时 间 。 

。 实时 系统 通常 被 实现 为 一 组 对 激励 做 出 反应 以 产生 响应 的 通信 进程 。 

。 状态 模型 是 嵌入 式 实时 系统 的 重要 设计 表现 。 它 们 用 于 显示 当 事 件 触发 系统 中 状态 
变化 时 系统 如 何 对 其 环境 做 出 反应 。 

o 在 不 同类 型 的 嵌 人 式 系统 中 ， 可 以 观察 到 几 种 标准 模式 。 这 包括 用 于 针对 不 良 事 件 
监视 系统 环境 的 模式 ， 用 于 执行 器 控制 的 模式 以 及 数据 处 理 模式 。 
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o 实时 系统 的 设计 者 必须 进行 时 序 分 析 ， 这 是 由 对 激励 处 理 和 响应 的 最 后 期 限 驱 动 的 。 
它们 必须 决定 系统 中 每 个 进程 应 该 运行 的 频率 以 及 进程 的 预期 和 最 坏 情 况 执行 时 间 。 
。 实时 操作 系统 负责 过 程 和 资源 管理 。 它 总 是 包含 一 个 调度 程序 ， 后 者 是 负责 决定 哪 

个 进程 应 该 被 调度 执行 的 构件 。 


阅读 推荐 

« Real-time Systems and Programming Language : Ada, Real-time Java and C/Real-time 
POSIX( 4rd ed.)》 是 一 本 优秀 和 全 面 的 书籍 ， 提 供 对 实时 系统 所 有 方面 的 广泛 覆盖 。(A. Burns 
and A. Wells, Addison-Wesley, 2009 ) 

《 Trends in Embedded Software Engineering 》 这 篇 论文 提出 模型 驱动 开发 (如 本 书 第 5 
章 所 讨论 的 ) 将 成 为 租 入 式 系统 开发 的 重要 方法 。 这 是 世 入 式 系 统 的 一 个 特殊 问题 的 一 部 
分 。 其 他 文章 ， 如 Ebert 和 Jones 的 这 篇 文章 ， 阅 读 也 很 受益 。( IEEE Software, 26 (3), 
May-June 2009 ) http://dx.doi.Org/10.1109/ MS.2009.80 

« Real-time systems : Design Principles for Distributed Embedded Applications, 2rd ed. ) 
是 一 本 关于 现代 实时 系统 的 综合 教科 书 ， 所 涉及 的 实时 系统 可 以 是 分 布 式 和 移动 系统 。 作 者 
关注 硬 实时 系统 ， 并 涵盖 了 如 互联 网 连接 和 电源 管理 这 样 重 要 的 主题 。(H. Kopetz, Springer, 
2013 ) 


网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap2 1/ 
支持 视频 的 链接 : http://software-engineering-book.comy/videos/systems-engineering/ 


练习 


21.1 用 例子 解释 为 什么 实时 系统 通常 需要 使 用 并 发 进程 来 实现 。 

21.2 ”识别 在 家 用 冰箱 或 家 用 洗衣 机 中 的 能 人 式 系统 的 可 能 的 激励 和 响应 。 

21.3 ”使 用 基于 状态 的 方法 建 模 ， 如 在 21.1.1 节 中 讨论 过 的 ， 为 有 线 电话 中 的 语音 邮件 系统 
的 嵌入 式 软 件 系 统 的 控制 建 模 。 应 该 在 LED 上 显示 记录 的 消息 的 数量 ， 应 该 允许 用 
户 拨打 并 接听 记录 的 消息 。 

21.4 为 什么 面向 对 象 软件 开发 方法 可 能 不 适合 实时 系统 的 开发 ? 

21.5 给 出 如 何 使 用 环境 控制 模式 作为 温室 温度 控制 系统 的 设计 基础 。 温 度 应 该 在 
10 一 30°C。 如 果 温 度 低 于 10°C， 就 应 该 将 供暖 系统 打开 ; 如 果 温 度 超过 30°C, BP 
就 应 该 自动 打开 。 

21.6 设计 一 个 环境 监控 系统 的 进程 的 体系 结构 ， 该 系统 从 一 组 安装 在 城市 周围 的 空气 质量 
传感器 收集 数据 。5000 个 传感器 被 分 成 100 组 。 每 个 传感器 每 秒 要 被 查询 4 次 。 当 某 
一 区 域 超过 30% 的 传感器 指示 空气 质量 低 于 一 个 可 接受 的 水 平时 ， 局 部 警告 灯 就 被 
打开 。 所 有 传感器 将 数据 返回 给 中 央 处 理 计算 机 ， 这 人 台 计 算 机 每 15min 产生 一 次 该 城 
市 的 空气 质量 报告 。 

21.7 一 个 火车 保护 系统 自动 地 在 达到 某 个 路 段 限 速 或 某 一 路 段 当前 有 红 灯 显 示 ( 该 路 段 不 
得 进入 ) 时 对 火车 实行 制 动 ， 细 节 内 容 如 网 21-20 所 示 。 写 出 火车 上 控制 系统 要 处 理 
的 激励 以 及 相关 的 响应 。 
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火车 保护 系统 的 需求 
。 该 系统 从 轨道 侧 发 射 机 获取 关于 该 轨道 段 速度 限制 的 信息 ， 发 射 机 持续 广播 该 段 标 识 符 及 其 速 
度 限制 。 相同 的 发 射 机 还 广播 关于 控制 该 轨道 段 信 号 的 状态 的 信息 。 广播 轨道 段 和 信号 信息 所 
需 的 时 间 是 50ms。 
当 列 车 在 距离 发 射 机 10m 范围 内 时 ， 可 以 从 轨道 发 射 机 接收 信息 。 
最 高 列车 速度 为 180km/h。 
列车 上 的 传感器 提供 有 关 当 前 列车 的 速度 (每 250 ms 更 新 一 次 ) 和 列车 制 动 状态 (每 100 ms 更 


新 一 次 ) 的 信息 。 

如 果 列 车 速度 超过 当前 轨道 段 限 速 多 于 5km/h， 则 在 驾驶 室 中 发 出 警告 。 如 果 列 车 速度 超过 当 
前 轨道 段 限 速 多 于 10km/h， 则 列车 制 动 自动 启动 直到 速度 下 降 到 轨道 段 限 速 范 围 。 当 检测 到 过 
高 的 列车 速度 时 ， 列 车 制 动 应 在 100ms 内 启动 。 

如 果 列 车 进入 信号灯 是 红 灯 的 轨道 段 ， 列 车 保护 系统 启动 列车 制 动 ， 并 将 列车 速度 降 至 零 y 
车 制 动 应 在 接收 到 红 灯 信 号 的 100ms 时 内 启动 。 

系统 会 不 断 更 新 驾驶 室内 的 状态 显示 。 





图 21-20 ”火车 保护 系统 的 需求 


21.8 为 练习 21.7 中 的 系统 绘制 出 一 个 可 能 的 进程 体系 结构 。 
21.9 agp 要 有 一 个 用 来 收集 从 轨道 劳 发 射 机 中 发 送 的 信息 的 一 个 周期 性 进 
， 这 个 周期 性 进程 需要 什么 样 的 调度 频 度 才能 确保 系统 能 收集 到 从 发 射 机 发 送 来 的 
yn ? 解释 如 何 实现 你 的 答案 。 
21.10 ”为 什么 通用 目的 操作 系统 例如 Linux 或 Windows 不 适合 作为 实时 系统 平台 ? 根据 你 
使 用 通用 目的 系统 的 经 验 来 回答 此 问题 。 
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有 人 认为 软件 工程 与 其 他 类 型 的 编程 的 关键 区 别 在 于 软件 工程 是 一 个 受 管理 的 过 程 。 这 
样 说 的 意思 是 软件 开发 是 在 一 个 组 织 内 进行 的 ， 受 到 一 系列 进度 、 预 算 以 及 其 他 组 织 约 束 。 
本 书 的 这 一 部 分 介绍 了 一 系列 的 管理 话题 ， 并 关注 技术 管理 问题 ， 而 不 是 “更 软 ” 的 管理 问 
题 (例如 人 员 管 理 ) 或 者 更 具 战略 性 的 企业 系统 管理 问题 。 

第 22 章 和 第 23 章 关注 基本 的 项 目 管理 活动 、 计 划 、 风 险 管 理 和 人 员 管 理 。 第 22 章 介 
绍 软件 项 目 管 理 ，22.1 节 主 要 关注 风险 管理 。 在 风险 管理 中 ， 管 理 者 要 确定 哪些 地 方 可 能 出 
问题 并 规划 如 何 应 对 这 些 问 题 。 这 一 章 还 会 介绍 人 员 管 理 和 团队 协作 。 

第 23 章 介 绍 项 目 计 划 和 估算 。 本 章 将 条 形 图 作为 基本 的 项 目 计 划 工 具 ， 并 解释 为 什么 
敏捷 方法 虽然 很 成 功 ， 但 计划 驱动 的 开发 仍 将 继续 作为 一 个 重要 的 开发 方法 存在 。 此 外 ， 本 
章 还 将 讨论 影响 系统 定价 的 一 些 问题 以 及 软件 成 本 估算 的 技术 ， 并 使 用 COMOCO 成 本 模型 
族 来 描述 算法 成 本 建 模 ， 并 分 析 此 方法 的 优点 和 缺点 。 

第 24 章 根 据 大 型 项 目 中 的 实践 介绍 软件 质量 管理 的 基础 。 质 量 管 理 是 用 于 确保 和 改善 
软件 质量 的 过 程 和 技术 。 这 一 章 讨 论 了 质量 管理 标准 的 重要 性 ， 以 及 如 何在 质量 保障 过 程 中 
使 用 评审 和 审查 技术 。 这 一 章 的 最 后 一 节 介绍 了 软件 度量 ， 讨 论 了 在 质量 管理 中 使 用 度量 和 
软件 数据 分 析 的 好 处 和 问题 。 

最 后 ， 第 25 章 讨 论 配 置 管理 ， 这 是 一 个 对 所 有 大 型 系统 都 很 关键 的 问题 。 然 而 ， 对 于 
只 关注 个 人 软件 开发 的 学 生 而 言 ， 对 配置 管理 的 重要 性 却 不 总 是 很 清楚 。 所 以 这 一 章 描述 了 
配置 管理 的 各 个 方面 ， 包 括 版 本 管理 、 系 统 构建 、 变 更 管理 以 及 发 布 管理 。 这 一 章 解 释 了 为 
什么 持续 集成 或 每 日 系统 构建 很 重要 。 本 书 这 一 版 的 一 个 重要 更 新 是 增加 了 分 布 式 版 本 管理 
系统 的 材料 ， 例 如 Git， 这 些 系统 已 经 在 软件 工程 中 得 到 越 来 越 广泛 的 应 用 ， 尤 其 是 在 分 布 
式 团 队 中 。 
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本 章 的 目的 是 介绍 软件 项 目 管理 和 两 项 重要 的 管理 活动 ， 即 风险 管理 和 人 员 管 理 。 阅 读 
完 本 章 后 ， 你 将 : 

o 了 解 软 件 项 目 管理 者 的 主要 任务 ; 

e 了 解 风 险 管理 的 概念 以 及 在 软件 项 目 中 可 能 出 现 的 一 些 风险 ; 

e 理解 影响 工作 积极 性 的 因素 ， 以 及 这 些 因 素 对 于 软件 项 目 管理 者 的 意义 ; 

e 理解 影响 团队 协作 的 主要 问题 ， 例 如 团队 的 构成 、 团 队 的 组 织 和 团队 的 沟通 。 

软件 项 目 管理 是 软件 工程 的 一 个 重要 组 成 部 分 。 需 要 对 软件 项 目 进行 管理 ， 这 是 因为 专 
业 的 软件 工程 总 是 要 受 预 算 和 工程 进度 的 制约 。 软 件 项 目 管理 者 的 任务 是 确保 软件 项 目 满 足 
和 服从 这 些 约束 ， 并 确保 交付 高 质量 的 软件 产品 。 好 的 管理 不 能 确保 项 目 成 功 ， 但 是 不 好 的 
管理 注定 会 造成 项 目 失败 : 软件 可 能 会 延迟 交付 ， 成 本 超出 预期 ， 或 者 无 法 满足 客户 的 期 望 。 

很 显然 项 目 管 理 成 功 的 标准 对 于 不 同 的 项 目 是 不 同 的 ， 但 是 对 于 大 多 数 项 目 来 说 ， 最 重 
要 的 目标 是 : 

o 按照 所 约定 的 时 间 将 软件 交付 给 客户 ; 

© 将 全 部 成 本 控制 在 预算 之 内 ; 

o 所 交付 的 软件 满足 客户 的 期 望 ; 

e 保持 一 个 有 凝聚 力 并 且 运 作 良 好 的 开发 团队 。 

这 些 目 标 并 不 是 软件 工程 所 独 有 的 ， 而 是 所 有 工程 项 目的 目标 。 然 而 ， 软 件 工程 管理 与 
其 他 的 工程 管理 相 比 ， 在 很 多 方面 有 显著 的 区 别 ， 这 使 得 软件 工程 管理 具有 相当 大 的 难度 。 
以 下 列 出 了 软件 工程 管理 的 一 些 不 同 之 处 。 

1. 软件 产品 是 无 形 的 。 一 个 造船 或 土木 工程 项 目的 管理 者 能 够 看 见 正 在 制造 的 产品 。 如 
果 进 度 跟 不 上 上， 那么 就 能 从 产品 的 现状 中 直接 看 出 来 : 整个 结构 中 的 某 些 部 分 很 明显 是 未 完 
工 的 。 而 软件 产品 是 无 形 的 ， 看 不 见 摸 不 着 。 软 件 项 目 管理 者 不 能 依靠 查看 正在 开发 的 产品 
来 了 解 进展 情况 。 在 一 定 程 度 上 ， 他 们 只 能 依靠 其 他 人 提供 信息 来 掌握 工作 进度 。 

2. 大 型 软件 项 目 常常 是 “一 次 性 ”的 项 目 。 每 个 大 型 软件 项 目 都 是 独特 的 ， 因 为 每 一 个 
软件 开发 所 处 的 环境 在 某 些 方面 都 各 不 相同 。 每 个 管理 者 纵然 有 通过 计划 降低 不 确定 性 的 经 
验 ， 也 很 难 预 见 将 出 现 的 问题 。 此 外 ， 计 算 机 和 通信 技术 飞速 发 展 ， 早 先 的 经 验 很 快 变 得 过 
时 了 ， 其 中 的 经 验 教 训 不 能 在 新 的 项 目 中 发 挥 作用 。 

3. 软件 开发 过 程 是 可 变 的 并 且 与 特定 组 织 相 关 。 对 于 某 些 系统 ， 例 如 桥梁 和 建筑 等 类 型 
的 工程 过 程 我 们 已 经 了 如 指 掌 。 然 而 ， 软 件 开 发 过 程 对 于 不 同 的 组 织 而 言 是 相当 不 同 的 。 虽 
然 我 们 在 过 程 标准 化 和 过 程 优 化 方面 已 经 取得 了 很 大 的 进步 ， 但 是 不 同 的 公司 经 常 使 用 很 不 
一 样 的 软件 开发 过 程 。 我 们 还 不 能 确切 地 预见 某 一 软件 过 程 何 时 有 可 能 出 现 问题 。 特 别 当 这 
个 软件 项 目 是 某 个 更 大 的 系统 工程 项 目的 一 部 分 或 者 当 开 发 一 个 全 新 的 软件 时 尤为 明显 。 
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基于 以 上 这 些 原因 ， 一 些 软件 项 目 延 期 、 超 出 预算 、 进 度 慢 也 就 不 足 为 奇 了 了。 软件 系统 
往往 是 全 新 的 、 非 常 复杂 的 而 且 技 术 上 也 有 所 创新 。 其 他 复杂 和 具有 创新 性 的 工程 项 目 ( 例 
如 新 的 运输 系统 ) 也 经 常会 存在 进度 问题 和 成 本 超支 问题 。 一 旦 出 现 困 难 ， 软 件 项 目的 按 
期 、 按 预算 完成 就 会 变 得 几乎 不 太 可 能 。 

软件 管理 者 的 工作 内 容 没 有 一 定 的 标准 。 开 发 组 织 和 开发 的 软件 决定 着 管理 工作 的 内 
容 。 下 面 列 出 一 些 影响 软 件 项 目 管理 的 最 重要 的 因素 。 

1. 公司 规模 。 小 公司 能 够 在 使 用 非 正 式 的 管理 方式 和 团队 沟通 方式 的 情况 下 继续 运行 下 
去 ， 也 不 需要 正式 的 政策 和 管理 结构 。 与 更 大 的 组 织 相 比 ， 小 公司 管理 开销 更 少 。 对 较 大 的 
组 织 而 言 ， 管 理 层次 结构 、 正 式 的 报告 和 预算 以 及 审批 流程 这 些 都 是 必须 遵循 的 。 

2. 软件 客户 。 如 果 软 件 的 客户 是 内 部 客户 (软件 产品 开发 就 是 这 种 情况 )， 那 么 客户 沟 
通 可 以 是 非 正 式 的， 也 没 必要 适应 客户 的 工作 方式 。 如 有 果 软 件 是 为 外 部 客户 开发 的 ， 那 么 必 
须 通 过 更 正式 的 沟通 方式 达成 一 至。 如 果 客 户 是 政府 组 织 ， 那么 软件 公司 必须 遵循 政府 组 织 
的 政策 和 规程 进行 操作 ， 这 一 过 程 很 可 能 会 有 些 官僚 主义 。 

3. 软件 规模 。 小 系统 由 小 团队 就 能 够 开发 出 来 ， 这 样 的 小 团队 中 的 成 员 可 以 在 同一 个 房 
间 内 一 起 来 讨论 进展 和 其 他 管理 问题 。 大 系统 通常 需要 多 个 开发 团队 来 开发 ， 这 些 团 队 可 能 
分 散在 不 同 的 地 方 和 不 同 的 公司 。 因 此 ， 项 目 管理 者 必须 协调 这 些 团队 的 活动 ， 并 安排 他 们 
互相 之 间 的 交流 。 

4. 软件 类 型 。 一 方面 ， 如 果 正 在 开发 的 软件 是 一 个 消费 性 产品 ， 那 么 项 目 管理 决策 的 正 
式 记录 就 不 是 必需 的 。 男 一 方面 ， 如 果 正 在 开发 的 是 一 个 安全 性 关键 系统 ， 那 么 所 有 的 项 目 
管理 决策 都 应 该 被 记录 而 且 所 有 决策 都 应 该 是 合理 的 ， 因 为 它们 可 能 影响 系统 的 安全 性 。 

5. 组 织 文 化 。 一 些 组 织 的 文化 基于 文 持 和 或 励 个 体 ， 而 其 他 一 些 组 织 的 文化 关注 小 组 。 
大 组 织 通 首 都 是 官僚 主义 的 。 一 些 组 织 的 文化 是 敢于 冒险 的 ， 而 其 他 一 些 组 织 的 文化 是 不 愿 
承担 风险 的 。 

6. 软件 开发 过 程 。 敏 捷 过 程 通常 会 尝试 采用 “ 轻 量 级 ”管理 。 更 加 正式 的 过 程 需要 管理 
监控 来 确保 开发 团队 章 循 已 定义 好 的 过 程 。 

这 些 因素 意味 着 在 不 同 组 织 中 的 项 目 管理 者 可 能 采用 完全 不 同 的 方式 工作 。 然 而 ， 很 多 
基础 项 目 管理 活动 对 于 所 有 组 织 而 言 是 通用 的 。 

1. 项 目 计划 。 项 目 管理 者 负责 计划 、 评 佑 以 及 调度 项 目 开 发 ， 并 给 人 员 分 配 任务 。 他 们 
监督 工作 确保 工作 是 按 要 求 的 标准 进行 ， 他 们 还 监督 开发 过 程 ， 检 查 开发 是 否 按时 进行 以 及 
是 否 在 预算 之 内 。 

2. 风险 管理 。 项 目 管理 者 必须 评估 并 且 监 测 某 些 可 能 影响 项 目的 风险 ， 并 在 问题 出 现时 
立刻 采取 行动 。 

3. 人 员 管 理 。 项 目 管理 者 负责 管理 一 个 团队 。 他 们 必须 为 他 们 的 团队 挑选 人 员 ， 并 且 建 
立 能 够 使 团队 高 效 运作 的 工作 方式 。 

4. 工作 报告 。 项 目 管理 者 通常 有 责任 向 客户 和 开发 此 软件 的 公司 的 经 理 汇报 项 目 进展 情 
况 。 他 们 必须 能 够 进行 各 个 层次 的 交流 ， 从 详尽 的 技术 细节 到 概要 的 管理 总 绪 。 项 目 管 理 者 必 
须 能 从 详细 的 项 目 报告 中 抽出 重要 的 信息 ， 写 成 简明 、 一 致 的 文档 ， 并 在 项 目 评审 时 陈述 出 来 。 

5. 编写 建议 书 。- 软件 项 目的 第 一 个 阶段 通 第 都 会 编写 一 个 建议 书 以 说 得 某 项 工作 的 合 
同 。 建 议 书 描述 了 项 目的 目的 以 及 如 何 实施 。 其 中 通常 会 包含 成 本 和 进度 估计 ， 并 说 明 为 什 
么 项 目 合同 应 该 被 给 予 某 个 特定 的 组 织 或 团队 。 编 写 建 议 书 是 一 个 关键 性 的 任务 ， 因 为 许多 
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软件 公司 的 生存 都 依赖 于 有 足够 多 的 项 目 建议 书 被 接受 并 获得 项 目 合同 。 
项 目 计划 是 一 项 重要 的 主题 ,将 在 第 23 章 讨 论 。 本 章 主要 介绍 风险 管理 和 人 员 管 理 。 


22.1 风险 管理 


能 预见 可 能 影响 正 开 发 的 软件 的 项 目 进度 或 产品 质量 的 风险 ， 并 采取 行动 避免 这 些 风 
险 ， 是 项 目 管理 者 的 一 项 重要 任务 (Hall 1998 ; Ould 1999 ) 。 可 以 把 风险 看 作 是 一 些 可 能 实 
际 发 生 的 不 利 因素 。 风 险 可 能 危及 整个 项 目 、 正 在 开发 的 软件 或 者 开发 组 织 。 

如 22.1.1 节 中 所 说 ， 风 险 可 以 根据 风险 的 类 型 (技术 风险 、 组 织 风险 等 ) 来 分 类 。 男 一 
个 补充 的 分 类 法 是 根据 风险 的 影响 对 风险 进行 分 类 。 

1. 项 目 风 险 是 影响 项 目 进度 或 项 目 资源 的 风险 。 例 如 失去 一 位 经 验 丰 富 的 系统 架构 师 。 
寻找 一 位 经 验 和 技能 满足 要 求 的 替代 者 可 能 需要 很 长 一 段 时 间 ， 而 这 带 来 的 直接 后 果 就 是 软 
件 的 设计 需要 更 长 的 时 间 才 能 完成 。 

2. 产品 风险 是 影响 开发 中 软件 的 质量 或 性 能 的 风险 。 例 如 ， 购 买 的 构件 不 能 达到 预期 目 
标 。 这 可 能 会 影响 整个 系统 的 性 能 ， 导 致 整个 系统 运行 速度 下 降 。 

3. 业务 风险 是 影响 软件 开发 组 织 或 软件 产品 购买 组 织 的 风险 。 例 如 ， 竞 争 对 手 推 出 了 新 的 
产品 。 竞 争 产品 的 推出 可 能 预示 着 ， 先 前 做 出 的 关于 现 有 软件 产品 的 销售 情况 可 能 过 于 乐观 。 

当然 ， 这 些 风 险 分 类 之 间 会 有 重 礁 。 人 例如， 经验 丰富 的 程序 设计 师 离职 ， 由 此 表现 出 
来 的 是 一 个 项 目 风 险 ， 因 为 软件 交付 进度 将 受到 影响 。 新 来 的 项 目 成 员 不 可 避免 要 花 一 些 时 
间 来 熟悉 这 个 项 目 ， 并 不 能 立刻 高 效 地 投入 工作 。 因 此 ， 系 统 的 交付 可 能 延期 。 失 去 一 个 团 
队 成 员 也 可 以 是 一 个 产品 风险 ， 因 为 继任 者 可 能 不 如 前 者 有 经 验 ， 因 而 可 能 犯 编程 错误 。 最 
后 ， 失 去 一 个 团队 成 员 所 带 来 的 风险 也 可 能 是 业务 风险 ， 因 为 有 经 验 的 程序 员 的 声望 是 取得 
新 的 合同 的 关键 。 

对 于 大 项 目 , 项 目 管理 者 应 该 将 风险 分 析 的 结果 以 及 相应 的 后 果 ， 包 括 对 项 目的 风险 
后 果 ， 对 产品 的 风险 后 果 以 及 对 业务 的 风险 后 果 ， 写 到 风险 记录 中 。 有 效 的 风险 管理 能 够 使 
项 目 管理 者 对 未 来 出 现 的 问题 处 理 自如 ， 并 保证 这 些 风 险 不 会 导致 不 可 接受 的 预算 和 进度 偏 
差 。 对 于 小 项 目 ， 正式 的 风险 记录 可 能 不 是 必需 的 ， 但 项 目 管理 者 应 该 对 它们 有 所 了 解 。 

项 目的 风险 类 型 取决 于 项 目 本 身 的 特点 和 软件 开发 的 组 织 环 境 。 然 而 有 许多 共性 的 风险 
不 依赖 于 所 开发 的 软件 的 种 类 ， 即 这 些 风险 可 能 发 生 在 任何 项 目 中 。 图 22-1 给 出 了 其 中 的 
一 部 分 共性 风险 。 









fi 
人 员 流动 项 目 | 有 经 验 的 项 目 成 员 可 能 会 在 项 目 完成 之 前 离开 
管理 层 变更 项 目 “| 管理 层 结构 可 能 会 发 生变 化 ， 不 同 的 管理 层 考虑 、 关 注 的 事情 会 不 同 
硬件 不 可 用 项 目 项 目 所 需 的 基础 硬件 可 能 没有 按期 交付 

业务 

业务 








和 
技术 变更 。 | 业务 | 系统 构造 所 依赖 的 基础 技术 被 新 技术 取代 O O 


图 22-1 常见 的 项 目 、 产 品 和 业务 风险 例子 
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风险 管理 对 软件 项 目 而 言 尤 为 重要 ， 因 为 软件 开发 存在 固有 的 不 确定 性 。 这 些 不 确定 
性 产生 于 : 宽泛 定义 的 需求 (需求 随 客户 要 求 的 改变 而 改变 )， 对 软件 开发 所 需 时 间 和 资源 
估算 的 困难 ， 以 及 项 目 组 成 员 技术 上 的 差异 性 。 项 目 管理 者 应 该 预见 风险 ， 了 解 这 些 风险 对 
项 目 、 产 品 和 业务 的 冲击 ， 并 采取 措施 规避 这 些 风险 。 可 以 制定 应 急 计 划 ， 这 样 一 旦 风险 来 
临 ， 才 有 可 能 采取 快速 防御 行动 。 . 

图 22-2 是 说 明 风 险 管理 过 程 的 概要 图 。 该 过 程 包括 以 下 几 个 阶段 。 


风险 分 析 7 风险 计划 B 风险 监控 E 
| 优先 级 排序 的 风险 规避 和 
潜在 的 风险 列表 风险 列表 应 急 计 划 


图 22-2 风险 管理 过 程 

1. 风险 识别 ， 识 别 可 能 的 项 目 风险 、 产 品 风 险 和 业务 风险 。 

2. 风险 分 析 ， 评 估 这 些 风险 出 现 的 可 能 性 及 其 后 果 。 

3. 风险 计划 ， 制 订 计 划 说 明 如 何 规避 风险 或 最 小 化 风险 对 项 目的 影响 。 

4. 风险 监控 ， 定 期 对 风险 和 缓解 风险 的 计划 进行 评估 ， 并 随 着 有 关 风 险 信息 的 增多 及 时 
修正 缓解 风险 的 计划 。 

对 于 大 型 项 目 ， 风 险 管理 过 程 的 结果 应 该 记录 在 风险 管理 计划 中 ， 具 体 包 括 : 对 项 目 所 
面临 的 风险 的 讨论 ， 对 这 些 风险 的 分 析 ， 以 及 当 风 险 可 能 成 为 一 个 现实 问题 时 管理 这 些 风险 
的 建议 。 

风险 管理 过 程 也 是 一 个 贯穿 项 目 全 过 程 、 迭 代 进 行 的 过 程 ， 从 最 初 的 计划 制订 开始 ， 项 
目 就 处 于 被 监控 状态 以 检测 可 能 出 现 的 风险 。 随 着 有 关 风 险 的 信息 的 增多 ， 需 要 重新 进行 分 
析 ， 重 新 确定 风险 的 优先 级 。 对 风险 规避 和 应 急 计 划 要 进行 修正 。 

敏捷 开发 中 的 风险 管理 更 加 非 正 式 。 虽 然 可 能 没有 正式 的 文档 记录 ， 但 相同 的 基础 活动 
仍 要 遵循 ， 并 且 风 险 也 已 经 如 前 面 讨 论 过 。 敏 捷 开 发 减少 了 一 些 风险 ， 例 如 需求 变更 造成 的 
风险 。 然 而 敏捷 开发 也 有 缺点 。 因 为 敏捷 开发 依赖 于 人 ， 所 以 人 员 流动 对 项 目 、 产 品 和 业务 
都 有 较 大 的 影响 。 由 于 缺少 正式 文档 以 及 依赖 于 非 正 式 的 沟通 ， 因 此 ， 如 果 关 键 人 员 离 开 了 
项 目 ， 那 么 保持 项 目的 连续 性 和 积极 性 就 变 得 非常 困难 。 


22.1.1 风险 识别 


风险 识别 是 风险 管理 的 第 一 阶段 。 这 一 阶段 主要 是 发 现 可 能 对 软件 工程 过 程 、 正 在 开发 
的 软件 或 者 开发 组 织 产 生 重 大 威胁 的 风险 。 风 险 识别 可 以 通过 项 目 组 对 可 能 的 风险 的 集体 讨 
论 完 成 ， 或 者 管理 者 凭借 之 前 项 目 中 出 错 的 经 验 识别 风险 。 

作为 风险 识别 的 起 始点 ， 可 以 使 用 一 个 关于 不 同类 型 风险 的 检查 表 。 该 风险 检查 表 中 可 
能 会 包含 如 下 这 6 种 风险 。 

1. 估算 风险 ， 源 于 管理 层 对 构建 系统 所 需 资源 进行 的 估算 。 

2. 组 织 风险 ， 源 于 软件 开发 所 处 的 组 织 环 境 。 
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3. 人 员 风 险 ， 与 软件 开发 团队 的 成 员 相关 。 

4. 需求 风险 ， 源 于 客户 需求 的 变更 和 需求 变更 的 处 理 过 程 。 

5. 技术 风险 ， 源 于 开发 系统 的 软件 技术 或 硬件 技术 。 

6. 工具 风险 ， 源 于 软件 工具 和 其 他 用 于 系统 开发 的 支持 软件 。 

图 22-3 对 上 述 每 一 种 风险 都 给 出 了 可 能 的 风险 实例 。 风 险 识 别 过 程 的 结果 应 该 是 列 出 
一 长 串 可 能 发 生 的 风险 ， 这 些 风 险 可 能 影响 到 软件 产品 、 过 程 或 业务 。 紧 接着 ， 需 要 削减 风 
险 列表 到 便于 管理 的 程度 为 止 。 因 为 所 列 的 风险 实在 太 多 了 ， 所 以 实际 工作 中 是 不 可 能 追 足 
所 有 的 风险 。 











1. 低估 了 软件 开发 所 需要 的 时 间 .。 
2. 低估 了 需要 修复 的 缺陷 比率 。 
3. 低估 了 软件 的 规模 。 | 
4. 组 织 进行 了 重 构 ， 负 责 项 目的 管理 层 发 生 了 变化 。 
5. 组 织 的 财政 状况 出 现 问 题 ， 导 致 项 目 预算 被 削减 。 
6. 招聘 不 到 符合 项 目 技术 要 求 的 人 员 。 
7. 在 项 目的 重要 时 间 点 上 ， 关键 的 项 目 组 成 员 生 病 并 且 无 法 发 挥 作用 . 
8. 人 员 所 需 的 培训 跟 不 上 。 
9, 需求 发 生变 更 ， 主 体 设计 要 返工 。 
10. 客户 不 了 解 需 求 变 更 对 项 目 造成 的 影响 。 
11. 系统 所 使 用 的 数据 库 每 秒 处 理事 务 数量 无 法 达到 预期 。 
12. 可 复 用 的 软件 构件 中 的 故障 必须 在 构件 复 用 前 被 修复 。 
13. 软件 代码 生成 工具 生成 的 代码 效率 低 。 
14. 软件 工具 无 法 以 一 种 集成 化 的 方式 一 起 使 用 。 


图 22-3 不 同类 型 风险 的 例子 

































22.1.2 ”风险 分 析 


在 风险 分 析 过 程 中 ， 必 须 考虑 每 个 已 识别 的 风险 并 针对 该 风险 的 可 能 性 和 严重 程度 做 出 
判断 。 风 险 分 析 不 存在 捷径 。 必 须 依赖 于 主观 判断 以 及 来 自 于 过 去 的 项 目 和 其 中 所 发 生 的 问 
题 的 经 验 。 不 可 能 对 每 个 风险 的 可 能 性 和 严重 程度 做 出 精确 、 数 字 化 的 评估 ; 而 是 应 该 对 风 
险 的 可 能 性 和 严重 程度 给 出 一 个 等 级 的 判断 。 

1. 风险 出 现 的 可 能 性 程度 可 以 是 微乎其微 、 低 、 中 < 高 和 非常 高 ; 

2. 风险 的 严重 程度 可 以 是 灾难 性 的 (严重 威胁 项 目的 存活 )、 严 重 的 (可 能 引起 很 大 的 
延迟 )、 可 以 容忍 的 (可 能 引起 小 的 延迟 ) 和 可 以 忽略 的 。 

风险 分 析 过 程 结束 后 ， 应 该 根据 风险 严重 程度 按 顺 序 制 成 表格 。 图 22-4 是 对 图 22-3 中 
已 识别 的 风险 进行 分 析 ， 得 出 结果 后 做 成 的 表格 。 很 显然 ， 这 里 对 可 能 性 和 严重 性 的 评估 有 
些 武 断 。 为 了 做 好 这 项 评估 ， 项 目 经 理 需 要 根据 来 自 项 目 、 过 程 、 开 发 团队 和 组 织 状况 等 有 
关 更 详细 的 信息 进行 评估 。 

当然 ， 随 着 有 关 风 险 的 可 用 信息 的 增多 和 风险 管理 计划 的 实施 ， 一 项 风险 出 现 的 可 能 性 
和 对 这 一 风险 的 影响 后 果 的 评估 都 可 能 改变 。 因 此 ， 这 个 表格 必须 在 风险 过 程 的 每 个 迭代 期 
间 得 到 更 新 。 

风险 一 经 分 析 和 排序 ， 下 一 步 就 该 判断 哪些 风险 是 最 重要 的 ， 这 是 在 项 目 期 间 必须 考虑 
的 。 做 出 以 上 判断 必须 综合 考虑 风险 出 现 的 可 能 性 大 小 和 该 风险 的 影响 后 果 。 一 般 而 言 ， 所 
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有 灾难 性 的 风险 都 是 必须 考虑 的 ， 所 有 出 现 的 可 能 性 超过 中 等 、 影 响 严重 的 风险 同样 要 给 予 
认真 对 待 。 

























严重 程度 
组织 的 财政 状况 出 现 问题 ， 导 致 项目 预 算 被 前 碱 (5) | 低 | 灾难 性 的 | 
组 织 进行 了 重 构 ， 负 责 项 目的 管理 层 发 生 了 变化 (4) | 高 | 严重 的 
低估 了 软件 开发 所 需要 的 时 间 (1) | 高 | 严重 的 | 
| 软件 工具 无 法 集成 (I4) o O 高 | 可 大 机 的 
可 容忍 的 
mee 
PL By 
低估 了 软件 的 规模 G -| 高 | ec 





图 22-4 ”风险 类 型 和 例子 


Boehm ( Boehm 1988 ) 曾 建议 识别 和 监控 “前 10 位 ”风险 ， 笔者 认为 必须 根据 项 目 自 
身 的 情况 确定 要 进行 监控 的 风险 的 数量 。 可 能 是 5 个， 也 可 能 是 15 个。 在 图 22-4 已 识别 的 
风险 中 ， 考 虑 具有 灾难 性 或 严重 后 果 的 总 共 8 种 风险 已 经 足够 了 ( 见 图 22-5 )。 


22.1.3 风险 计划 


风险 计划 过 程 通过 制订 策略 来 对 威胁 项 目的 关键 风险 进行 管理 。 对 于 每 个 风险 而 言 ， 必 
须 思考 一 旦 某 个 风险 发 生 时 所 需要 采取 的 行动 ， 使 其 对 项 目的 干扰 最 小 化 。 同 时 ， 应 该 考虑 
在 监控 项 目 时 需要 收集 哪些 信息 ， 以 便 在 出 现 的 问题 变 严重 之 前 检测 出 问题 所 在 。 

在 风险 计划 中 ， 必 须 会 问 “ 如 果 -应 该 怎么 办 ”问题 。 所 考虑 的 问题 应 该 既 包 括 单个 风 
险 又 包括 多 个 风险 的 混合 以 及 影响 这 些 风险 的 外 部 因素 。 下 面 列 出 了 一 些 可 能 会 问 的 问题 。 

1. 如 果 多 个 工程 师 同 时 生病 了 ， 应 该 怎么 办 ? 

2. 如 果 经 济 衰退 导致 项 目的 预算 削减 了 20%， 应 该 怎么 办 ? 

3. 如 果 开 源 软 件 的 性 能 不 够 好 并 且 唯 一 了 解 这 个 软件 的 专家 离职 了 ， 应 该 怎么 办 ? 

4. 如 果 提 供 并 维护 软件 构件 的 公司 破产 了 ， 应 该 怎么 办 ? 

5. 如 果 客 户 没 有 按 预 期 提交 修改 后 的 需求 ， 应 该 怎么 办 ? 

基于 这 些 “ 如 果 - 应 该 怎么 办 ”问题 ， 可 以 制订 相应 的 策略 来 管理 风险 。 

图 22-5 给 出 了 处 理 图 22-4 中 重大 风险 (严重 的 或 灾难 性 的 ) 的 可 能 的 策略 。 这 些 策略 
分 为 以 下 3 类 。 

1. 规避 策略 。 采 用 这 些 策 略 就 会 降低 风险 出 现 的 可 能 性 。 图 22-5 中 处 理 有 缺陷 的 构件 
策略 就 是 一 个 例子 。 . 

2. 最 小 化 策略 。 采 用 这 些 策略 就 会 减 小 风险 的 影响 。 图 22-5 中 解决 职员 生病 问题 的 策 
略 就 属于 这 一 种 。 


434 ZOD KEL 


拟 一 份 简短 的 报告 ， 提 交 高 级 管理 层 ， 说 明 这 个 项 目 将 对 业务 目标 有 重大 贡 
di 献 ， 陈 述 理由 ， 说 明 削 减 预算 并 不 符合 成 本 收益 


人 员 招 聘 问 题 告诉 客户 项 目 潜在 的 困难 和 延迟 的 可 能 性 ， 研 究 购买 构件 的 可 能 性 
入 员 生 病 问 题 和 


作 
有 缺陷 的 构件 用 买 进 的 可 靠 性 稳定 的 构件 更 换 有 潜在 缺陷 的 构件 


需求 变更 建立 可 追踪 信息 来 评估 需求 变更 带 来 的 影响 ; 在 设计 中 尽量 做 到 信息 隐藏 


T 拟 一 份 简短 的 报告 提交 给 高 级 管理 层 ， 说 明 这 个 项 目 对 于 业务 目标 有 非常 重 
组 织 重 构 大 的 贡献 


数据 库 的 性 能 研究 购买 更 高 性 能 数据 库 的 可 能 性 
低估 开发 时 间 研究 买 人 构件 的 可 能 性 ; 研究 使 用 自动 化 代码 生成 的 可 能 性 


图 22-$ 风险 管理 策略 


3. 应 急 计 划 。 采 用 这 些 策略 意味 着 就 算 最 坏 的 事情 发 生 ， 你 也 是 有 备 而 来 ,有 适当 的 策 
略 加 以 应 对 。 图 22-5 中 应 对 组 织 的 财务 问题 的 策略 就 属于 这 一 类 。 

可 以 看 到 此 处 与 在 关键 性 系统 中 为 确保 可 徘 性 、 信 息 安 全 性 和 安全 性 所 采取 策略 的 相似 
之 处 一 一 都 必须 规避 、 容 忍 失效 以 及 从 失效 中 恢复 。 显 然 ， 最 好 是 使 用 规避 风险 的 策略 。 如 
果 这 办 不 到 的 话 ， 就 采取 降低 那些 会 导致 严重 后 果 的 风险 的 发 生 概率 的 策略 (最 小 化 策略 )。 
最 后 ， 必 须 有 成 熟 的 应 急 策 略 以 应 对 这 些 可 能 出 现 的 风险 ， 以 此 降低 在 项 目 或 产品 上 的 总 的 
风险 影响 。 


22.1.4 风险 监控 


风险 监控 就 是 检查 之 前 对 产品 、 过 程 以 及 业务 风险 的 假设 是 否 改变 的 过 程 。 必 须要 对 每 
一 个 识别 的 风险 定期 进行 评估 ， 从 而 确定 风险 出 现 的 可 能 性 是 变 大 了 还 是 变 小 了 ， 风 险 的 影 
啊 后 果 是 否 有 所 改变 。 为 了 达到 这 个 目的 ， 必 须 关 注 能 提供 有 关 风 险 可 能 性 及 其 影响 后 果 信 
息 的 其 他 因素 ， 例 如 需求 变更 的 数量 。 它 能 给 出 风险 概率 和 风险 影响 的 线索 。 显 然 ， 具 体 有 
哪些 因素 取决 于 风险 的 类 型 。 图 22-6 举 出 上 述 因 素 的 一 些 例子 ， 可 能 会 对 评估 这 些 风险 类 
型 有 帮助 。 
































硬件 或 支持 软件 延迟 交付 ; 报告 了 很 多 技术 问题 
团队 成 员 不 愿 使 用 工具 ; 抱怨 软件 工具 ; 要 求 更 快 的 计算 机 / 更 大 的 内 存 等 


图 22-6 风险 监测 指标 
风险 监控 应 该 是 一 个 持续 不 断 的 过 程 ， 在 每 一 次 对 风险 管理 进行 评审 时 ， 每 一 个 重大 风 


险 都 应 该 单独 评审 并 在 会 上 进行 讨论 。 项 目 管理 者 应 该 判断 风险 出 现 的 可 能 性 是 变 大 还 是 变 
小 了 ， 以 及 风险 的 严重 性 和 后 果 是 否 也 发 生 了 变化 。 
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对 于 一 个 软件 组 织 来 说 ， 人 是 这 个 组 织 中 最 重要 的 资产 。 招 募 和 留 住 好 的 员工 的 代价 是 
很 昂贵 的 ， 而 项 目 中 的 工程 师 能 否 尽 可 能 高 效率 地 工作 主要 取决 于 软件 管理 者 。 成 功 的 公司 
和 经 济 实体 尊重 它们 的 员工 ， 并 且 在 对 他 们 的 任务 分 配 上 体现 他 们 的 技能 和 经 验 的 价值 ， 以 
此 达到 上 述 目标 。 

软件 项 目的 管理 者 对 影响 软件 开发 工作 的 技术 问题 的 理解 是 很 重要 的 。 然 前 不 幸 的 是 ， 
好 的 软件 工程 师 并 不 一 定 是 好 的 人 力 资源 管理 者 。 软 件 工程 师 通 常 拥有 娴熟 的 技术 技巧 ， 但 
是 却 缺 乏 能 够 激励 和 领导 项 目 开 发 团队 的 软 技 术 。 作 为 项 目 管理 者 ， 应 该 意识 到 人 员 管 理 的 
潜在 问题 ,并且 应 该 尝试 不 断 提高 自身 在 人 员 管 理 方面 的 技巧 。 

有 4 个 关键 要 素 影 响 着 管理 人 员 与 他 所 管理 的 团队 成 员 之 间 的 关系 。 

1. 一 致 性 。 对 项 目 组 的 每 个 人 应 该 同等 对 待 。 虽 然 人 们 不 会 期 望 每 个 人 的 报酬 都 相同 ， 
但 是 不 应 该 让 项 目 组 成 员 感到 自己 对 组 织 的 贡献 被 低估 了 。 

2. 笨重。 不 同 的 人 有 着 不 同 的 技能 ， 管 理 者 应 尊重 这 些 差异 。 团 队 的 所 有 成 员 都 应 有 机 
会 做 出 贡献 。 当 然 在 某 些 情况 下 你 会 发 现 某 个 人 根本 不 适合 在 这 个 团队 ， 所 以 也 不 能 够 继续 
下 去 ， 但 重要 的 是 不 要 匆忙 得 出 这 样 的 结论 。 

3. 包容 。 当 人 们 觉得 其 他 人 能 够 倾听 并 能 采纳 自己 的 建议 时 ， 他 们 能 更 有 效 地 工作 。 很 
重要 的 一 点 是 创造 一 种 工作 环境 ， 在 这 种 工作 环境 下 ， 所 有 的 见解 ， 甚 至 是 最 底层 员工 的 意 
见 都 会 得 到 考虑 。 

4. 诚实 。 作 为 一 个 管理 者 ， 必 须 对 项 目 组 中 好 的 情况 和 不 好 的 情况 保持 诚实 的 态度 。 应 
当 诚实 地 对 竺 自己 的 技术 知识 水 平 ， 并 且 在 必要 的 时 候 乐于 服从 更 博学 的 员工 。 如 果 掩 盖 存 
在 的 问题 和 自己 的 无 知 ， 最 终 将 被 发 现 并 且 失 去 团队 的 尊敬 。 

实用 的 人 员 管 理 方法 必定 是 基于 以 往 的 经 验 ， 所 以 在 这 一 节 和 下 一 节 讲 团队 合作 的 内 
容 ， 目 的 是 使 管理 者 意识 到 那些 他 们 要 解决 的 最 重要 的 问题 。 


22.2.1 激励 人 员 


项 目 管理 者 需要 激励 一 起 工作 的 员工 ， 使 他 们 能 尽心 尽力 。 激 励 意 味 着 在 协调 工作 和 提 
供 良 好 工作 环境 方面 能 使 员工 尽 可 能 更 有 效率 地 工作 。 如 果 员 工 没有 被 激励 起 来 ， 他 们 将 失 
去 对 正在 从 事 的 工作 的 兴趣 ， 工 作 进度 会 很 缓慢 ， 会 更 容易 犯错 误 ， 并 且 不 能 对 团队 或 组 织 
长 远 的 目标 有 所 贡献 。 

为 了 达到 激励 员工 的 目的 ， 需 要 理解 什么 才能 激励 员工 。 马 斯 洛 (Maslow 1954) 建议 
通过 满足 人 的 需求 来 激励 他 们 ， 这 些 需 求 被 划分 成 一 
系列 层次 ， 如 图 22-7 所 示 。 这 里 较 低 的 层次 表示 基本 
的 需求 ， 如 对 食物 、 睡 虐 等 的 需求 ， 还 有 在 某 一 环境 
下 对 安全 的 需求 。 社 会 需求 是 指 对 某 一 社会 群体 的 认 
同感 ; 受 尊 重 的 需求 是 指 得 到 其 他 人 的 尊重 ; 自我 实 
现 的 需求 是 指 个 人 发 展 。 人 类 首先 要 满足 低层 次 的 需 
求 ， 如 饥饿 ， 然 后 是 更 抽象 更 高 层次 的 需求 。 

软件 开发 组 织 中 的 员工 根本 没有 饥 淘 问题 ,一般 人 
也 不 会 感受 到 环境 对 号 体 的 威胁 。 因 此 ， 确 保 社会 需 图 22-7 人 的 需求 层次 


自我 实现 的 需求 
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求 、 受 尊重 需求 和 目 我 实现 需求 的 满足 ， 从 管理 的 观点 来 看 是 最 有 意义 的 。 

1. 满足 员工 的 社会 需求 ， 为 项 目 组 成 员 提 供与 同事 交谈 的 时 间 和 场所 。 一 些 软件 公司 
(例如 谷歌 ) 就 在 办 公 室 里 提供 了 社交 空间 ， 使 员工 可 以 聚集 在 一 起 。 当 所 有 开发 团队 成 员 
在 一 个 地 方 工作 时 ， 这 种 需求 相对 较 容 易 满 足 ， 但 越 来 越 多 的 团队 成 员 并 不 在 同一 个 建筑 物 
中 工作 ， 甚 至 不 在 同一 个 城市 或 一 个 国家 工作 。 他 们 可 能 同时 在 为 多 家 公司 服务 ， 还 可 能 绝 
大 多 数 时 间 里 是 在 家 工作 。 社 交 网 络 系统 和 电话 会 议 可 以 使 交流 变 得 更 便捷 。 通 常 ， 电 子 系 
统 只 有 在 人 们 互相 认识 的 情况 下 使 用 才 最 有 效 。 所 以 ， 在 项 目的 初期 应 当 安排 定期 的 面对面 
的 会 议 ， 以 使 人 们 能 够 直接 与 团队 的 其 他 成 员 进 行 交流 。 通 过 这 种 直接 交流 ， 人 们 成 为 这 个 
团队 的 一 部 分 ， 并 理解 团队 的 目标 和 重点 。 

2. 为 了 满足 员工 的 受 尊重 需要 ， 应 该 让 员工 们 感觉 到 他 们 在 开发 组 织 中 很 受 尊 重 。 对 员 
工 做 出 的 成 绩 给 予 认 同 就 是 一 种 简便 有 效 的 方式 。 显 然 ， 也 必须 让 员工 们 感觉 到 为 他 们 所 支 
付 的 报酬 能 够 反映 出 他 们 的 能 力 和 经 验 的 价值 。 

3. 最 后 ， 为 了 满足 员工 的 目 我 实现 需要 ， 应 该 让 员工 对 目 己 的 工作 负 起 责任 ， 分 配给 他 
们 一 些 要 求 较 高 (但 不 是 不 能 完成 的 ) 的 任务 ， 并 给 他 们 提供 培训 和 发 展 的 机 会 以 提高 他 们 
的 技能 。 因 为 员工 喜欢 学 习 新 的 知识 和 技能 ， 所 以 培训 是 一 项 重要 的 激励 方式 。 

马 斯 洛 的 激励 模型 在 一 定 程度 上 来 说 对 人 员 管 理 是 有 帮助 的 ， 但 是 这 个 模型 存在 的 一 个 
问题 是 只 从 个 人 的 角度 考虑 动力 。 模 型 没有 充分 考虑 到 一 个 人 感觉 他 们 是 一 个 组 织 、 一 个 专 
业 性 的 团队 、 一 个 或 多 个 文化 组 成 中 的 一 部 分 这 个 因素 。 身 为 一 个 有 凝聚 力 的 团队 中 的 一 员 
会 使 大 多 数 人 有 强劲 的 工作 动力 。 有 充实 的 任务 的 人 常常 愿意 去 工作 ， 因 为 他 们 被 共同 工作 
的 人 和 他 们 从 事 的 工作 激发 了 积极 性 。 因 此 ， 身 为 一 个 管理 者 ， 你 要 思考 怎么 将 团队 作为 一 
个 整体 去 激发 他 们 的 积极 性 。22.3 节 将 会 探讨 这 个 问题 以 及 其 他 的 一 些 团队 合作 的 问题 。 

图 22-8 说 明了 一 个 管理 者 通常 不 得 不 面 对 的 关于 工作 动力 的 问题 。 在 这 个 例子 中 ， 一 
个 非常 有 能 力 的 小 组 成 员 对 工作 和 小 组 都 失去 了 兴趣 。 于 是 ， 其 工作 质量 开始 下 降 ， 变 得 不 
可 接受 。 这 种 情况 必须 尽快 得 到 处 理 。 如 果 不 能 解决 这 一 问题 ， 小 组 的 其 他 成 员 将 会 开始 不 
满 ， 觉 得 受到 不 公平 的 符 遇 。 


案例 分 析 : 激励 

Alice 是 一 个 软件 项 目 经 理 ， 她 所 在 的 公司 主要 研发 报警 系统 。 公 司 最 近 试 图 进入 到 快速 发 展 
的 老年 人 和 残疾 人 市 场 ， 开 发 帮助 这 个 群体 独立 生活 的 技术 产品 。Alice 被 指定 领导 一 个 6 人 研发 
团队 开始 这 方面 的 项 目 ， 不 再 继续 搞 她 所 熟悉 的 报警 技术 。 

Alice 的 辅助 技术 项 目 进行 得 很 顺利 。 在 组 内 建立 了 良好 的 工作 关系 ， 一 些 具有 创新 的 想法 得 
到 和 采纳。 公司 决 定 采用 链接 到 网 络 的 数字 电视 建立 一 个 点 对 点 的 消息 系统 。 人 然而 ， 几 个 月 之 后 ， 
Alice 发 现 硬件 设计 专家 Dorothy 开始 上 班 迟到 ， 工 作 效 率 下 降 ， 而 且 没 有 和 其 他 成 员 进 行 交 流 。 

Alice 和 小 组 的 其 他 成 员 进 行 了 非 正 式 的 谈话 ， 试图 了 解 Dorothy 的 个 人 环境 是 否 发 生 了 改变 ， 
是 否 影 响 到 了 她 的 工作 。 但 是 他 们 都 不 太 清 楚 ， 所 以 Alice 决定 直接 和 Dorothy 谈 谈 ， 了 解 其 问题 。 

在 几 次 否认 之 后 , Dorothy 承认 她 对 工作 失去 了 兴趣 。 她 希望 能 发 展 和 运用 她 的 硬件 接口 经 验 。 
但 由 于 产品 方向 已 经 确定 ， 在 这 方面 她 只 有 很 少 的 机 会 。 基 本 上 她 只 是 同 其 他 团队 成 员 一 起 作为 
C 语言 程序 员 在 工作 。 , 

在 她 承认 这 项 工作 是 一 种 挑战 时 ， 也 同时 明白 在 此 她 不 能 拓展 擅长 的 接口 技术 。 她 很 担心 当 
进行 完 这 个 项 目 以 后 ,将 很 难 再 去 找到 一 个 包含 硬件 接口 的 工作 。 因 为 她 不 想 让 团队 知道 她 正在 
考虑 下 一 份 工作 而 影响 到 别人 的 工作 热情 ， 所 以 决定 最 好 与 团队 中 尽 可 能 少 的 人 谈论 这 件 事 。 





图 22-8 个 人 激励 
在 这 个 例子 中 ，Alice 试 着 去 和 弄 清 楚 Dorothy 的 个 人 情况 是 否 有 问题 。 私 人 问题 通常 会 
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的 问题 ， 同 时 也 必须 让 他 们 清楚 地 认识 到 需要 对 雇主 负责 。 

实际 上 Dorothy 所 面临 的 激励 问题 在 项 目 开 发 与 人 们 所 预期 的 方向 不 一 致 时 经 常会 发 
生 。 人 们 期 望 去 做 一 种 类 型 的 工作 ,但 实际 上 可 能 最 终 却 干 着 完全 不 同 的 事情 。 在 这 个 
例子 中 ， 可 能 要 决定 让 这 个 团队 成 员 离 开 到 别 的 地 方 寻找 机 会 。 而 这 里 Alice 试 着 去 说 服 
Dorothy 折 展 经 历 是 职业 生涯 中 一 个 正确 的 选择 。 她 给 了 Dorothy 更 多 的 设计 自主 权 ， 并 组 
织 了 一 些 软件 工程 方面 的 培训 课程 ， 使 Dorothy 在 结束 当前 的 项 目 后 能 有 更 多 的 机 会 。 













人 员 能 力 成 熟 度 模型 


人 员 能 力 成 熟 度 模型 ( People Capability Maturity Model, P-CMM) 是 一 个 用 于 评估 
组 织 在 管理 员工 自身 发 展 方面 的 水 平 的 框架 。 它 强调 在 人 的 管理 方面 的 最 佳 实践 ， 为 组 织 
提供 了 改善 它们 人 员 管 理 过 程 的 基础 。 
http://www.SoftwareEngineering-9.com/Web/Management/P-CMM.html 


心理 人 格 类 型 也 会 对 激励 产生 影响 。Bass 和 Dunteman (Bass and Dunteman 1963 ) 将 职 
业 人 士 分 为 3 种 类 型 。 

1. 面向 任务 型 ， 这 类 专业 人 员 的 动力 来 目 于 他 们 所 从 事 的 工作 。 在 软件 工程 中 ， 软 件 开 
发 智力 上 的 挑战 激发 了 这 类 人 员 的 工作 热情 。 

2. 面向 自我 型 ， 这 类 人 的 动力 主要 来 和 月 于 个 人 成 功 和 得 到 认可 。 他 们 更 乐于 把 软件 开发 
视 为 达到 自己 目标 的 手段 。 他 们 通常 有 更 长 远 的 目标 ， 比 如 得 到 升迁 ， 他 们 希望 在 工作 中 获 
得 成 功 以 帮助 实现 自己 的 这 些 目 标 。 

3. 面向 交互 型 ， 这 类 人 的 动力 来 目 于 同事 们 的 存在 和 行为 。 随 着 用 户 界 面 的 设计 越 来 越 
受 重 视 ， 面 向 交互 的 人 们 也 越 来 越 积 极地 参与 到 软件 工程 中 来 。 

研究 表明 面向 交互 型 人 员 通 党 喜欢 小 组 作业 ， 而 面向 任务 型 和 面 回 上 自我 型 人 员 则 通 
篆 喜 欢 独自 工作 :女人 比 男 人 更 易 成 为 面向 交互 型 人 员 ， 她 们 通常 是 更 有 效 的 交流 者 。 在 
图 22-10 中 讨论 了 团队 中 这 些 不 同 的 特性 。 

每 个 个 体 的 工作 动力 由 各 种 动力 因素 组 成 ,但 是 在 任 一 时 刻 总 是 只 有 一 种 动力 居于 文 配 
地 位 。 然 而 每 个 人 都 可 能 发 生 改 变 。 举 个 例子 ， 如 果 技 术 人 员 对 所 文 付 的 报酬 不 满意 ， 那 么 
他 很 可 能 会 变 成 面向 目 我 型 ， 把 个 人 利益 置 于 技术 乐趣 之 上 。 如 果 团 队 协 调 得 特别 好 ， 面 向 
自我 型 的 人 也 可 能 变 成 面向 交互 型 的 人 。 


22.3 团队 协作 


多 数 专业 软件 都 是 由 一 个 项 目 团 队 开 发 完成 的 ， 这些 团队 的 规模 从 两 人 到 几 百 人 不 等 。 
然而 ， 让 大 型 团队 中 的 每 个 人 都 能 有 效 地 参与 、 解 决 一 个 问题 ， 很 显然 是 不 可 能 的 ， 通 常 要 
把 这 些 大 型 团队 分 成 小 的 项 目 小 组 ， 每 个 项 目 小 组 各 负责 整个 系统 的 一 个 子 项 目 。 一 个 软件 
工程 小 组 人 员 最 好 为 4 一 6 人 ， 一 定 不 能 超过 12 人 。 分 成 小 型 的 项 目 小 组 可 以 减少 沟通 中 ， 
的 问题 。 人 人 都 互相 认识 ， 整 个 小 组 可 以 坐 在 一 起 开会 讨论 项 目 和 当前 正在 开发 的 软件 。 

组 成 一 个 高 效 的 项 目 小 组 是 一 项 至 关 重 要 的 管理 任务 。 这 个 小 组 应 该 在 技术 、 经 验 和 
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个 性 方面 整体 均衡 。 成 功 的 小 组 并 不 只 是 各 种 技能 均衡 的 个 体 的 简单 组 合 。 好 的 小 组 具有 
一 种 凝聚 力 和 团队 精神 ， 使 得 所 有 的 成 员 既 为 自己 的 个 人 目标 奋斗 同时 又 为 小 组 的 成 功 而 
奋斗 。 

在 有 凝聚 力 的 小 组 中 ， 成 员 认为 集体 比 个 人 重要 。 领 导 得 当 ， 凝 聚 力 强 的 小 组 的 成 员 
都 忠于 小 组 ， 他 们 认同 集体 目标 和 其 他 成 员 。 他 们 试图 保护 集体 为 一 个 整体 ， 免 受 外 来 的 干 
扰 。 这 就 使 得 小 组 足够 健壮 ， 有 能 力 解 决 各 种 问题 和 突 发 状况 。 

建立 有 凝聚 力 的 小 组 带 来 的 好 处 包括 : 

1. 能 够 建立 起 小 组 自己 的 质量 标准 。 因 为 这 个 标准 的 建立 是 经 过 小 组 一 致 同意 的 ， 与 外 
部 强加 给 小 组 的 标准 相 比 ， 更 容易 被 大 家 遵守 。 

2. 成 员 互相 学 习 、 互 相 帮 助 。 小 组 中 的 成 员 之 间 互 相 学 习 。 鼓 励 互相 学 习 可 以 消除 由 于 
相互 不 了 解 而 引起 的 隔 头 。 

3. 知识 能 够 共享 。 一 旦 有 成 员 离 开 小 组 也 能 够 保持 工作 的 连续 性 。 小 组 的 其 他 成 员 可 以 
接手 关键 的 任务 ， 确 保 不 会 对 项 目 影响 过 大 。 

4. 鼓励 重 构 和 持续 改进 。 不 管 一 个 设计 或 程序 最 初 是 谁 创建 的 ， 小 组 成 员 都 会 团结 工作 
以 交付 高 质量 的 结果 并 解决 问题 。 

优秀 的 项 目 管理 者 应 该 增强 小 组 凝聚 力 。 他 们 可 以 为 小 组 成 员 及 其 家 庭 组 织 一 些 社会 活 
动 ， 可 以 通过 给 小 组 命名 确立 小 组 的 特性 和 定位 ， 尝 试 着 建立 小 组 的 认同 感 ， 还 可 以 开展 有 
鲜明 小 组 特色 的 小 组 建设 活动 ， 如 运动 和 游戏 。 

增强 小 组 凝聚 力 的 最 有 效 的 方式 是 把 组 员 当 作 自 己 人 。 必 须 认 为 小 组 成 员 是 负责 任 的 、 
可 信赖 的 ， 保 障 小 组 成 员 的 知情 权 。 管 理 者 们 常常 觉得 某 些 信息 不 能 让 小 组 所 有 的 成 员 都 知 
晓 ， 这 样 难免 会 产生 相互 之 间 的 不 信任 。 坦 诚 的 信息 交流 是 一 种 简便 而 又 有 效 的 方式 ， 可 以 
使 小 组 成 员 感 到 他 们 的 价值 ， 感 觉 他 们 是 小 组 的 一 部 分 。 

在 图 22-9 中 的 案例 分 析 是 一 个 例子 。Alice 安排 非 正式 的 例会 通知 其 他 的 小 组 成 员 将 
要 做 什么 。 她 重视 让 成 员 们 提出 来 自 自己 小 组 经 验 的 新 想法 ， 从 而 参与 到 产品 开发 中 来 。 
“放松 日 ”也 是 提高 凝聚 力 的 一 个 好 方法 。 当 人 们 互相 帮助 学 习 新 技能 时 他 们 也 一 起 得 到 了 
放松 。 


案例 分 析 : 团队 精神 

Alice 作为 一 个 有 经 验 的 项 目 经 理 ， 了 解 建立 一 个 有 凝聚 力 的 小 组 的 重要 性 。 当 开发 一 个 新 产 
品 时 ， 她 让 产品 描述 小 组 和 产品 设计 小 组 的 所 有 成 员 都 参与 到 探讨 活动 中 来 ， 与 各 小 组 中 资深 者 
一 起 对 可 能 用 到 的 技术 进行 讨论 。 她 利用 这 样 的 机 会 使 得 项 目 团 队 中 的 每 个 成 员 都 能 够 美 心 产品 
的 描述 和 设计 。 她 还 鼓励 老成 员 介绍 新 成 员 与 其 他 小 组 中 的 成 员 认 识 。 

Alice 每 月 都 安排 午餐 会 ， 这 是 项 目 组 所 有 成 员 相 互 认 识 并 谈论 彼此 所 关心 的 问题 的 好 机 会 。 


ERZE, Alice 告诉 小 组 成 员 她 所 知道 的 公司 的 新 闻 、 制 度 、 策 略 等 。 然 后 每 个 成 员 简 要 总 结 他 
们 已 经 完成 和 正在 进行 的 工作 ， 然 后 是 小 组 讨论 一 般 性 话题 ， 例 如 从 年 长 同事 那里 获得 的 新 产品 
构想 。 

每 隔 几 个 月 ，Alice 组 织 一 次 小 组 的 “放松 日 "， 用 两 天 时 间 对 小 组 进行 “技术 提升 ”。 每 个 小 
组 成 员 准 备 一 项 相关 技术 的 最 新 内 容 并 介绍 给 小 组 中 其 他 成 员 。 到 一 个 较 远 的 地 方 选 择 一 个 高 级 
宾馆 度假 ， 给 出 充足 的 时 间 进 行 充分 的 技术 讨论 和 成 员 彼此 间 相 互 沟通 。 





图 22-9 ”小 组 凝聚 力 


在 一 定 程度 上 ， 一 个 小 组 能 否 有 效率 地 工作 取决 于 项 目 本 身 以 及 承担 该 项 目的 组 织 。 如 
果 这 个 组 织 不 稳定 ， 不断 重组 ， 工 作 无 保障 ， 人 处 于 一 片 混乱 之 中 ,团队 成 员 很 难 专 注 于 项 目 
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开发 。 同 样 ， 如 果 一 个 项 目 不 断 改变 或 者 面临 取消 的 危险 ， 成员 们 会 对 它 失 去 兴趣 。 

给 定 一 个 稳定 的 组 织 和 项 目 环 境 ， 以 下 3 个 要 素 对 团队 合作 有 着 最 重要 的 影响 。 

1. 小 组 中 的 人 。 项 目 小 组 需要 不 同类 型 的 人 员 。 因 为 软件 开发 包括 各 种 活动 : 和 客户 谈 
判 ， 编 码 ， 测 试 ， 编 写 文档 等 。 

2. 小 组 的 组 织 。 应 该 这 样 组 织 团 队 : 小 组 成 员 都 能 尽 其 所 能 ， 所 承担 的 各 项 任务 都 能 按 
时 完成 。 

3. 技术 上 和 管理 上 的 交流 。 小 组 成 员 之 间 、 软 件 开发 团队 和 其 他 利益 相关 者 之 间 的 良好 
沟通 是 必 不 可 少 的 。 

正如 所 有 的 管理 问题 一 样 ， 获 得 合适 的 团队 并 不 能 保证 项 目 成 功 。 还 会 有 太 多 的 地 方 可 
能 出 现 问题 ， 如 业务 变更 和 业务 环境 改变 。 然 而 ,不 注意 小 组 构成 、 组 织 以 及 交流 的 话 ， 项 
目 出 现 问题 的 可 能 性 就 大 大 增加 了 。 


22.3.1 成 员 的 挑选 


管理 者 或 团队 领导 者 的 任务 是 创建 一 个 有 凝聚 力 的 小 组 并 将 其 很 好 地 组 织 起 来 ， 使 其 
能 一 起 有 效 地 工作 。 这 包括 两 方面 : 创建 一 个 在 技术 技能 和 人 格 个 性 之 间 平 衡 的 小 组 ; 组 织 
成 员 一 起 有 效 地 工作 。 有 时 ， 员 工 是 从 组 织 外 面 雇 佣 的 ; 然而 更 常见 的 是 ， 软 件 工程 小 组 成 
员 是 从 其 他 项 目 中 有 经 验 的 现 有 职员 中 挑选 来 的 。 然 而 ， 事 实情 况 是 管理 者 很 少 有 机 会 挑选 
小 组 成 员 。 他 们 经 常 不 得 不 使 用 公司 里 能 找到 的 人 员 ， 即 使 这 些 人 并 不 是 这 项 工作 的 理想 
ARo 

许多 软件 工程 人 员 的 动力 主要 来 自 于 他 们 的 工作 。 因 而 软件 开发 小 组 常常 都 是 由 一 些 对 
技术 问题 解决 有 独到 见解 的 人 员 组 成 的 。 他 们 想 尽 可 能 地 把 工作 做 到 最 好 ， 因 此 他 们 可 能 会 
刻意 地 重新 设计 系统 或 添加 不 在 需求 列表 中 的 一 些 额 外 的 系统 功能 ， 来 达到 他 们 所 认为 的 改 
进 目的 。 敏 捷 方 法 鼓励 工程 师 在 提升 软件 制品 中 起 到 主导 作用 。 然 而 ， 有 时 候 这 就 意味 着 时 
间 被 花费 在 一 些 不 必要 的 事情 上 ， 并 且 有 时 工程 师 互相 竞争 着 重 写 对 方 的 代码 。 

技术 性 的 知识 和 能 力 不 应 该 作为 挑选 组 员 的 唯一 考虑 因素 。 如 果 组 员 们 有 互补 的 工作 
动机 ， 那 么 “工程 师范 争 ” 问 题 将 得 到 缓解 。 以 工作 为 动力 的 人 很 可 能 在 技术 上 是 最 出 色 
的 。 面 向 自我 的 人 则 可 能 善于 推动 整个 工作 的 完成 。 面 向 交互 的 人 有 利于 小 组 内 部 的 交流 
沟通 。 所 以 ， 一 个 小 组 拥有 面向 交互 型 的 人 员 特 别 重 要 。 这 种 类 型 的 人 喜 欢 和 别人 交谈 ， 
可 以 较 早 地 发 觉 小 组 中 的 紧张 与 不 和 谐 状 态 ， 使 得 紧张 与 不 和 谐 状态 不 致 对 小 组 造成 严重 
影响 。 

图 22-10 中 所 示 的 案例 分 析 中 ， 表 现 了 项 目 经 理 Alice 如 何 去 组 建 一 个 个 性 和 谐 的 小 
组 。 这 个 特别 的 小 组 中 有 着 面向 交互 和 面向 任务 型 两 种 人 的 良好 组 合 , 但 是 在 图 22-8 中 讲 
到 了 Dorothy 面向 自我 的 个 性 可 能 会 导致 一 些 问 题 ， 因 为 她 干 的 并 不 是 她 希望 的 工作 。Fred 
作为 领域 专家 的 兼职 角色 也 可 能 是 个 问题 。 他 太 过 专注 于 技术 的 挑战 ， 因 而 可 能 不 能 与 其 他 
小 组 成 员 进 行 良 好 的 互动 。 他 不 能 始终 作为 小 组 的 一 部 分 ， 这 意味 痢 他 可 能 不 能 很 好 地 与 团 
队 的 目标 相 一 致 。 

有 的 时 候 不 可 能 挑选 个 性 互补 的 成 员 组 成 一 个 小 组 。 在 这 种 情况 下 ， 项目 管 理 者 必须 控 
制 小 组 ， 不 能 让 小 组 成 员 把 个 人 目标 凑 斩 于 开发 组 织 和 小 组 的 目标 之 上 。 如 果 所 有 的 成 员 都 
参与 到 项 目的 各 个 阶段 ， 这 种 控制 比较 容易 实现 。 当 项 目 小 组 成 员 在 接受 指示 的 时 候 不 知道 
他 们 的 任务 在 整个 项 目 中 的 地 位 ， 他 们 很 有 可 能 会 按照 自己 的 意志 行事 。 
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案例 分 析 : 小 组 构成 l 
在 创建 辅助 技术 开发 小 组 的 过 程 中 ，Alice 认识 到 选择 个 性 和 谐 成 员 的 重要 性 。 面 试 的 时 候 ， 她 试 
着 判定 他 们 是 面向 任务 型 、 面 向 自我 型 还 是 面向 交互 型 的 。 她 觉得 自己 主要 是 面 问 目 我 型 的 ， 因 
为 她 觉得 这 个 项 目 是 使 得 她 能 获得 上 层 注 意 和 得 到 提升 的 一 个 途径 。 因 此 她 寻找 一 个 或 两 个 面 癌 
交互 型 的 人 ， 并 期 望 能 找到 一 些 面向 任务 型 的 人 来 建立 小 组 。 她 最 后 的 看 法 是 : 

Alice—Ifi [5] H Fe HY 

Brian 一 面 回 任务 型 


Chun 一 面向 交互 型 
Dorothy 一 面向 自我 型 
Ed 一 面 问 交 互 型 
Fiona 一 面向 任务 型 
Fred 一 面向 任务 型 
Hassan 一 面 问 交 互 型 





图 22-10 ”小 组 构成 


举 个 例子 ， 一 个 工程 人 员 要 为 一 个 程序 做 编码 设计 ， 并 注意 到 了 一 些 可 能 的 设计 改善 。 
如 果 在 实现 这 些 改善 时 ， 工 程 人 员 没 有 理解 设计 的 初 囊 ， 那 么 任何 改变 , 虽然 初 囊 是 好 的 ， 
都 会 对 系统 的 其 他 部 分 产生 不 利 影响 。 如 果 整 个 小 组 从 一 开始 就 参与 这 项 设计 ， 他 们 就 会 理 
解 为 什么 会 做 出 这 样 的 设计 决定 。 他 们 就 会 认同 这 些 决定 ， 而 不 再 反对 它们 。 


22.3.2 小 组 的 结构 


小 组 的 构成 方式 影响 着 小 组 的 决策 、 信 息 交 换 的 方式 以 及 开发 小 组 和 小 组 外 的 项 目 利益 
相关 者 间 的 交流 。 项 目 管理 者 关心 的 重要 组 织 结 构 问 题 如 下 。 

1. 项 目 管理 者 应 该 是 小 组 的 技术 负责 人 吗 ? 技术 负责 人 或 者 系统 架构 师 负 责 项 目 开 发 过 
程 中 的 重大 技术 决策 。 有 些 情 况 下 ， 项 目 管 理 者 有 足够 的 技术 和 经 验 担当 这 个 角色 。 然 而 ， 
对 于 大 型 项 目 ， 最 好 将 技术 和 管理 角色 分 开 。 项 目 管理 者 指派 一 位 资深 的 工程 师 担当 项 目 架 
构 师 来 责 技术 领导 任务 。 

2. 谁 将 参与 做 出 重大 技术 决策 ， 以 及 如 何 做 出 ”应 该 让 系统 架构 师 、 项 目 管理 者 还 是 让 
更 多 的 小 组 成 员 一 起 做 出 ? 

3. 如 何 与 小 组 外 的 利益 相关 者 以 及 高 层 管理 者 进行 交流 沟通 ?在 很 多 情况 下 ， 项目 管 理 
者 将 会 在 系统 架构 师 (如 果 有 的 话 ) 的 辅助 下 负责 这 些 沟通 。 Rt ee 
指派 一 个 有 着 良好 沟通 能 力 的 人 担当 此 角色 ， 专 门 负责 外 部 联络 。 

4. 如 何 将 分 散 的 人 员 整 合 到 一 组 ”很 普遍 的 情况 是 小 组 包括 不 同 组 织 的 成 员 ， 有 的 成 员 
在 共同 的 办 公 室 办 公 也 有 人 在 家 办 公 。 在 小 组 决策 过 程 中 应 该 将 此 考虑 在 内 。 


雇用 正确 的 人 


项 目 管理 者 通常 负责 挑选 组 织 中 的 员工 到 他 们 的 软件 工程 团队 中 。 在 此 过 程 中 获得 
可 能 的 最 好 的 员工 是 非常 重要 的 ， 因 为 坏 的 选择 决定 会 是 项 目的 一 个 严重 风险 。 

影响 员工 挑选 的 一 些 关键 因素 包括 : 教育 背景 和 培训 ， 应 用 领域 和 技术 经 验 ， 
能 力 ， 适 应 性 以 及 问题 解决 能 力 。 


http://software-engineering-book.com/web/people-selection/ 













沟通 
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5. 小 组 怎么 共享 知识 ? 小 组 的 组 织 方式 影响 信息 的 共享 ， 比 起 其 他 方式 ， 某 些 组 织 方式 
更 有 利于 共享 知识 。 然 而 ， 也 应 该 避免 共享 过 多 的 信息 ， 以 免 超过 成 员 承 受 的 范围 ， 过 多 的 
信息 会 使 成 员 在 工作 中 分 心 。 

小 型 的 程序 设计 小 组 的 组 织 结构 通常 是 非 正 式 的 。 小 组 领导 和 其 他 小 组 成 员 一 起 参与 软 
件 开发 。 在 非 正 式 结构 的 小 组 中 ， 完 成 哪些 工作 要 经 过 小 组 集体 讨论 ， 任 务 的 分 派 按照 个 人 
能 力 和 经 验 进行 。 高 级 的 系统 设计 由 小 组 的 资深 成 员 完成 ， 低 级 的 设计 则 由 承担 具体 任务 的 
小 组 成 员 负 责 。 

敏捷 开发 小 组 总 是 非 正 式 小 组 。 敏 捷 开发 的 拥护 者 认为 正式 的 组 织 结构 阻碍 了 信息 交 
流 。 许 多 通常 被 认为 应 由 管理 层 做 出 的 决策 ， 如 对 项 目 进 度 的 决策 ， 都 交 给 了 小 组 成 员 。 然 
而 ,依旧 需 要 一 个 项 目 经 理 来 负责 战略 决策 和 组 外 交流 。 

如 果 小 组 的 大 多 数 成 员 都 既 有 经 验 又 有 能 力 ， 非 正式 结构 的 小 组 会 做 得 非常 成 功 。 小 组 
的 运作 实行 民主 、 和 集体 决策 。 这 样 增强 了 小 组 的 凝聚 力 和 实力 。 然 而 ， 如 果 小 组 的 大 部 分 成 
员 经 验 不 足 ， 或 者 能 力 不 足 ， 非 正式 结构 会 阻碍 小 组 的 发 展 。 没 有 一 定 的 权威 来 指导 工作 的 
进行 ， 会 使 得 小 组 成 员 间 缺乏 协调 ， 并 有 可 能 最 终 导 致 项 目 失败 。 

层次 化 小 组 中 ， 小 组 负责 人 处 于 最 上 层 。 负 责 人 比 起 其 他 组 员 有 更 大 的 权限 ， 所 以 可 以 
指导 工作 。 组 织 层次 结构 清晰 ， 在 此 结构 中 ， 上 层 做 出 决策 ， 而 下 层 执行 决策 。 在 这 种 结构 
中 ， 交 流 主 要 是 高 层 人 员 下 达 的 指示 ， 从 下 层 到 上 层 的 交流 相对 来 说 就 很 少 了 。 

当 一 个 被 充分 理解 的 问题 能 很 轻易 地 被 分 解 成 可 以 由 层次 结构 中 的 不 同 部 分 来 开发 的 
软件 构件 时 ， 层 次 化 小 组 很 有 效 。 这 种 组 织 方式 使 得 决策 可 以 很 快 做 出 ， 这 是 为 什么 军事 组 
织 遵循 这 一 模型 的 原因 。 然 而 ， 对 于 复杂 的 软件 工程 而 言 这 一 模型 很 少 能 奏效 。 在 软件 开发 
中 ,在 所 有 层次 上 有 效 的 团队 沟通 是 很 重要 的 。 

1. 软件 的 变更 通常 会 引起 系统 多 个 部 分 的 变化 ， 因 此 需要 层次 结构 中 各 个 等 级 的 人 员 一 
起 讨论 磋商 。 

2. 软件 技术 飞速 发 展 ， 年 轻 职 员 往往 比 有 经 验 的 老 职员 对 技术 懂得 更 多 。 自 上 而 下 的 交 
流 方式 意味 着 项 目 管理 者 找 不 到 机 会 使 用 新 技术 。 而 且 由 于 在 开发 中 使 用 在 年 轻 员工 看 来 是 
过 时 的 技术 ， 越 来 越 多 的 新 员工 会 产生 挫败 感 。 

项 目 管理 者 面临 的 主要 挑战 就 是 小 组 成 员 技术 能 力 的 差异 。 最 好 的 程序 员 可 能 比 最 差 的 
程序 员 的 工作 效率 高 25 倍 。 因 此 ， 要 使 这 些 “ 超 级 程序 员 ” 发 挥 出 最 大 的 作用 ， 就 需 为 他 
们 提供 尽 可 能 多 的 支持 。 与 此 同时 ， 专 注 于 这 些 “ 超 级 程序 员 ” 会 使 其 他 组 员 失 去 动力 ， 他 
们 会 因为 没 被 分 配 到 任务 而 不 满 。 因 为 他 们 担心 这 可 能 关系 到 他 们 的 职业 生涯 发 展 。 此 外 ， 
如 果 一 个 “超级 程序 员 ” 离 开 了 公司 ， 会 对 项 目 产生 巨大 的 影响 。 因 此 ， 采 取 一 个 基于 个 别 
专家 的 小 组 模型 会 造成 重大 的 风险 。 


O 物理 工作 环境 


人 们 所 处 的 工作 环境 既 影 响 小 组 沟通 也 影响 每 个 人 的 工作 效率 。 独 立 工 作 间 对 从 事 
复杂 的 技术 工作 的 人 集中 注意 力 特别 有 帮助 ， 这样 技术 人 员 就 会 最 小 限度 地 受到 干扰 。 然 
而 ， 共 享 空 间 特别 有 助 于 沟通 。 设 计 良 好 的 环境 应 该 综合 考虑 到 这 两 方面 的 需要 。 
http://software-engineering-book.com/web/workspace/ 
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22.3.3 ”小 组 的 沟通 


组 员 相 互 之 间 以 及 和 其 他 项 目 利益 相关 者 之 间 的 准确 高 效 的 沟通 是 绝对 必要 的 。 组 员 之 
间 需 要 交流 各 自 工作 的 情况 、 做 出 的 设计 决策 ， 以 及 对 原先 设计 决策 进行 修改 。 组 员 必 须 解 
决 其 他 利益 相关 者 所 提出 来 的 问题 ， 并 告 之 在 系统 方面 、 小 组 方面 以 及 在 交付 计划 方面 等 的 
变更 。 恨 好 的 交流 有 助 于 增强 小 组 的 凝聚 力 。 组 员 开 始 理解 小 组 中 其 他 人 员 的 动机 、 长 处 以 
及 弱点 。 

影响 沟通 有 效 性 和 效率 的 主要 因 率 有 : 

1. 小 组 规模 。 随 着 小 组 规模 的 扩大 ， 要 保证 所 有 的 成 员 都 能 彼此 有 效 交 流 就 变 得 很 困难 
了 。 单 向 交流 链 的 数目 是 nx (n 一 1)， 其 中 代表 小 组 的 人 数 ， 可 以 看 出 ， 对 于 一 个 有 8 名 
成 员 的 小 组 ， 有 56 条 可 能 的 交流 路 径 。 有 些 成 员 之 间 很 可 能 没有 实际 交流 。 小 组 成 员 之 间 
职位 上 的 差异 意味 着 沟通 常常 是 单 同 的 。 管 理 者 和 经 验 丰富 的 工程 师 在 与 经 验 较 少 的 成 员 进 
行 交 流 时 ， 容 易 处 于 文 配 地 位 ， 谈 话 的 对 象 常 弟 不 愿 主动 开始 交谈 。 

2. 小 组 结构 。 在 一 个 没有 正式 组 织 结构 的 小 组 中 ,员工 的 沟通 比 有 正规 层次 化 结构 的 
小 组 中 员工 的 沟通 更 为 有 效 。 在 有 层级 结构 的 小 组 中 ， 沟 通 是 按照 层级 结构 进行 的 。 处 于 同 
一 层级 的 人 可 能 彼此 不 进行 交流 。 这 是 含有 几 个 开发 小 组 的 大 型 项 目 中 的 一 个 突出 问题 。 如 
果 开 发 不 同 子 系统 的 人 员 只 与 他 们 的 管理 者 进行 沟通 ,通常 会 造成 项 目的 延 斯 和 理解 上 的 
ALR o 

3. 小 组 构成 。 如 果 小 组 中 人 太 多 并 是 个 性 类 型 相同 (在 22.2 节 讨 论 过 )， 这 样 可 能 容易 
发 生 冲突 ， 沟 通 也 不 能 正常 进行 。 由 混合 性 别 组 成 的 小 组 ( Marshall and Heslin 1975 ) 中 的 
沟通 要 比 由 单一 性 别 组 成 的 小 组 容易 进行 。 女 性 比 男性 更 容易 成 为 面向 交互 型 的 人 ,小 组 中 
的 女性 成 员 可 作为 小 组 沟通 的 控制 员 和 协调 员 。 

4. 物理 工作 环境 。 工 作 场 所 的 结构 是 推动 或 阻碍 沟通 的 主要 因素 。 一 些 公司 为 员工 提供 
标准 的 开放 式 办 公 室 ; 其 他 一 些 公司 使 用 了 包含 了 私人 工作 区 域 与 小 组 工作 区 域 的 混合 式 工 
作 空间 ， 这 使 得 兼顾 协作 的 活动 和 需要 高 度 集中 的 个 人 开发 成 为 可 能 。 

5. 可 用 的 沟通 渠道 。 交 流 的 形式 有 很 多 一 一 面对面 的 方式 ， 发 电子 邮件 ， 下 达 正 式 文 
件 ， 电 话 以 及 技术 (比如 社交 网 络 和 Wiki)。 项 目 组 分 布 在 各 处 的 情况 越 来 越 常 见 ， 组 员 都 
在 远 地 工 作 ， 需 要 广泛 采用 能 使 小 组 交流 变 得 便捷 的 交互 技术 ， 如 会 议 系统 。 

对 项 目 管理 者 来 说 ， 最 后 期 限 通常 都 很 紧 ， 所 以 他 们 更 愿意 使 用 不 太 费 时 的 交流 渠道 。 
他 们 依靠 会 议 以 及 正式 文件 回 项 目 职员 和 利益 相关 者 传达 信息 ， 并 回 项 目 成 员 发 送 内 容 很 长 
的 邮件 。- 虽 然 从 一 个 项 目 管理 者 的 角度 来 看 这 是 有 效率 的 交流 方式 。 但 通常 却 没 有 好 的 效 
果 。 我 们 可 以 发 现 有 很 多 原因 使 得 人 们 不 去 参加 会 议 ， 所 以 他 们 昕 不 到 报告 。 人 们 没有 时 间 
去 阅读 过 长 而 且 与 自己 的 工作 没有 直接 关系 的 文档 。 当 同样 的 文件 产生 了 几 个 版 本 的 时 候 ， 
读者 会 很 难 找到 其 中 的 不 同 点 。 

当 沟 通 是 双向 的 时 候 ， 有 效 的 沟通 就 达到 了 。 有 关 的 人 员 讨 论 问题 和 咨询 ， 并 且 建 立 起 
对 提议 和 问题 的 共同 的 理解 。 可 以 通过 会 议 达 到 双 癌 沟通 目的 ， 虽然 会 议 通 常 被 强势 的 人 员 
所 控制 。 管 理 人 员 与 小 组 成 员 在 咖啡 时 间 进 行 的 非 正式 讨论 有 时 更 加 有 效 。 

越 来 越 多 的 项 目 团队 中 包括 在 外 地 工作 的 人 员 ， 这 使 得 举行 会 议 更 加 困难 。 为 了 解决 交 
流 问 题 ， 可 以 使 用 Wiki 和 博客 来 支持 信息 交流 。Wiki 支持 合作 创造 和 编辑 文档 ， 博 客 支持 
主题 为 线索 的 讨论 ， 组 员 可 以 提出 问题 和 评论 。 无 论 在 哪 ，Wiki 和 博客 允许 项 目 成 员 和 外 
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部 利益 相关 者 交换 信息 。 它 们 能 帮助 管理 信息 ， 分 辨 讨论 的 类 型 ， 而 这 些 使 用 电子 邮件 的 时 
候 经 常 把 人 搞 糊 涂 。 当 然 ， 也 可 以 使 用 即时 通信 工具 和 电话 会 议 处理 需 要 讨论 的 问题 。 这 是 
很 容易 安排 的 。 


Pig 


o 软件 工程 项 目 要 想 按 进度 、 按 预算 进行 开发 ， 完 善 的 软件 项 目 管理 是 必要 的 。 

e 软件 项 目 管理 与 其 他 的 工程 管理 有 明显 区 别 ; 软件 产品 是 无 形 的 ; 软件 项 目 可 能 很 
独特 或 者 有 创新 ， 这 样 就 没有 实在 的 经 验 以 供 借鉴 ; 软件 过 程 没 有 传统 工程 过 程 那 
Z BA 0 

© 风险 管理 包括 识别 并 评 佑 重大 的 项 目 风险 ， 从 而 判断 这 些 风险 发 生 的 可 能 性 及 其 后 
打 的 严重 程度 。 对 很 有 可 能 发 生 并 有 淤 在 严重 性 的 风险 ， 应 该 制订 有 关 规 避 、 管 理 
和 解决 可 能 发 生 的 风险 的 计划 ， 包 括 对 风险 发 生 的 分 析 和 当 风 险 发 生 时 的 应 对 措施 。 

e 人 员 管 理 涉及 为 项 目 选择 正确 的 人 员 、 组 织 团队 和 工作 环境 ， 这 样 他 们 就 能 尽 可 能 


高 效 地 工作 。 
o 对 一 个 人 的 激励 因素 会 包括 与 其 他 人 的 交互 作用 、 得 到 管理 层 和 同行 的 赏识 ， 以 及 
得 到 个 人 发 展 的 机 会 等 。 


© 软件 开发 小 组 不 宜 太 大 且 要 具有 凝聚 力 。 影 响 小 组 效率 的 关键 因素 是 小 组 中 的 人 员 、 
小 组 组 织 的 方式 以 及 组 员 之 间 的 沟通 。 

e 一 个 小 组 内 部 的 沟通 受 许多 因素 的 影响 ， 如 小 组 成 员 的 职位 、 小 组 的 规模 、 小 组 的 
性 别 组 成 、 小 组 成 员 的 个 性 以 及 可 用 的 沟通 渠道 。 


阅读 推荐 


《 The Mythical Man Month ( Anniversary Edition)) 20 世纪 60 年 代 以 来 ， 软件 管 理 
的 难题 一 直 就 没有 变化 ， 这 是 软件 管理 方面 的 最 好 的 书 之 一 。 该 书 有 趣 、 易 懂 ， 描 述 了 最 
早 的 大 型 软件 项 目 之 一 的 IBM OS/360 操作 系统 的 管理 活动 。 这 个 纪念 版 (在 1975 FER 
的 最 初版 本 之 后 20 年 出 版 ) 还 收录 了 Brooks 的 其 他 一 些 经 典 的 论文 。( F. P. Brooks, 1995, 
Addison-Wesley) 

《 Peopleware: Productive Projects and Teams, 2nd ed 》 是 一 本 经 典 著 作 的 新 版 本 ， 强 调 
了 软件 项 目 管 理 中 人 文 关怀 的 重要 性 。 这 本 书 容易 阅读 ， 是 少 有 的 认可 人 的 工作 场所 的 重要 
性 的 书 之 一 。 极 力 推 荐 此 书 。(T. DeMarco and T. Lister, 1999, Dorset House) 

《 Waltzing with Bears: Managing Risk on Software Projects 》 是 一 本 实践 性 很 强 且 易 读 的 
书 ， 主 要 介绍 风险 和 风险 管理 。(T. DeMarco and T. Lister, 2003, Dorset House) 

《 Effective Project Management: Traditional, Agile, Extreme. 2014 ( 7th ed.)》 是 一 本 关于 
通用 项 目 管 理 的 书 ， 并 不 局 限于 软件 项 目 管 理 。 它 基于 被 称 作 PMBOK ( Project Management 
Body of Knowledge) 的 项 目 管理 知识 体系 。 并 且 与 含有 这 个 内 容 的 许多 书 不 同 ， 它 探讨 了 
敏捷 项 目 中 项 目 管理 的 技术 。(R. K. Wysocki，2014 ) 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap22/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/software-management/ 
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练习 


Akal 
22-2 


22.1 
22.8 
22.9 


22.10 


解释 软件 系统 的 无 形 性 为 什么 给 软件 项 目 管理 提出 了 特殊 的 难题 。 
解释 最 好 的 程序 设计 者 为 什么 不 一 定 能 成 为 最 好 的 软件 管理 者 。22.1 节 中 列 出 的 管理 
活动 可 以 帮助 你 回答 这 个 问题 。 
根据 文献 中 已 报告 的 项 目 问题 的 实例 ， 列 出 这 些 失 败 的 程序 设计 项 目 中 存在 的 管理 难 
点 和 错误 (可 参考 “阅读 推荐 ”中 Brooks 的 书 )。 
除了 图 22-1 中 所 列 的 风险 ， 识 别 可 能 在 软件 项 目 中 出 现 的 其 他 6 种 风险 。 
为 什么 在 一 个 项 目 开发 的 过 程 中 风险 发 生 的 可 能 性 不 断 上 升 ， 而 且 这 些 风险 造成 的 后 
果 很 可 能 会 变化 ? 
价格 锁定 的 合同 ， 即 承包 人 以 某 个 确定 价格 投标 一 系统 开发 ， 是 一 种 将 项 目 风险 从 委 
托 人 转移 给 承包 人 的 做 法 。 如 果 出 现 问题 ， 需 要 由 承包 人 承担 。 分 析 一 下 为 什么 这 种 
合同 容易 增加 产品 风险 的 可 能 性 。 
为 什么 让 小 组 所 有 成 员 都 知悉 项 目的 进展 情况 和 技术 上 的 决策 能 够 增强 小 组 的 凝聚 力 ? 
在 极限 编程 团队 中 许多 管理 决策 权 被 下 放 到 团队 成 员 手 中 ， 这 会 带 来 哪些 问题 ? 
编写 一 个 类 似 本 书 风 格 的 案例 研究 ， 证 明 项 目 组 中 沟通 的 重要 性 。 假 定 这 个 项 目 组 一 
些 组 员 在 外 地 工作 ， 不 可 能 在 短 时 间 内 召集 在 一 起 。 
你 的 经 理 要 求 你 在 某 一 时 刻 之 前 交付 软件 产品 ， 而 据 你 了 解 只 有 让 你 的 项 目 组 无 偿 
地 加 班 加 点 ， 才 能 赶 上 进度 ， 而 项 目 组 所 有 的 成 员 都 有 和 孩子 需要 照顾 。 你 应 该 接 
受 经 理 的 要 求 ， 还 是 应 该 说 服 你 的 项 目 组 成 员 加 班 ?做 出 你 的 决定 要 考虑 哪些 重要 
因素 ? 
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项 目 计 划 





目标 

本 章 的 目的 是 介绍 项 目 计 划 、 进 度 安 排 以 及 成 本 估算 。 阅 读 完 本 章 后 ， 你 将 : 

e 理解 软件 成 本 计算 的 基础 以 及 影响 为 外 部 客户 所 开发 的 软件 系统 定价 的 因素 ; 

© 了 解 在 计划 驱动 的 开发 过 程 中 的 项 目 计划 应 该 包含 哪些 部 分 ; 

e 理解 项 目 进度 安排 包含 的 内 容 以 及 如 何 使 用 条 状 图 制作 项 目 进 度 安 排 ; 

o 了 解 基于 “计划 游戏 ”的 敏捷 项 目 计划 ; 

o 理解 成 本 估算 技术 以 及 如 何 使 用 COCOMO 开 模 型 进行 软件 成 本 估算 。 

项 目 计划 是 软件 项 目 管 理 者 最 重要 的 工作 之 一 。 项 目 管理 者 必须 将 工作 分 解 开 来 并 分 配 
给 团队 成 员 ， 必 须 预 见 可 能 出 现 哪 些 问 题 ， 并 且 准 备 好 相应 的 试探 性 的 解决 办 法 去 应 对 这 些 
问题 。 项 目 计 划 是 在 项 目的 开始 建立 的 ， 并 且 随 着 项 目的 进度 更 新 ， 是 用 于 说 明 工 作 如 何 开 
展 ， 以 及 估计 项 目 进度 的 。 

项 目 计划 发 生 在 项 目 生存 周期 的 以 下 3 个 阶段 。 

1. 投标 建议 书 阶段 ， 即 为 争取 一 个 软件 系统 开发 合同 的 投标 阶段 。 在 这 个 阶段 ， 需 要 做 
出 计划 以 帮助 管理 者 判断 是 否 有 完成 这 项 工作 所 需 的 资源 ， 并 计算 出 向 客户 开 出 的 价格 。 

2. 项 目 开 始 阶段 ， 此 时 需要 做 出 如 下 计划 : 确定 参加 此 项 工作 的 人 员 ; 将 工作 分 解 成 若 
FO FIA; 在 公司 中 如 何 分 配 资 源 等 。 此 时 ， 已 经 掌握 了 比 投标 阶段 更 多 的 信息 ， 因 此 可 
以 进一步 完善 最 初 的 工作 量 估 计 。 

3. 贯穿 于 项 目 过 程 中 ， 和 定期 地 更 新 计划 来 反映 关于 软件 及 其 开发 的 新 信息 ， 这 样 项 目 
管理 者 对 开发 的 系统 和 开发 团队 的 能 力 就 了 解 越 多 。 随 着 软件 需求 的 改变 ， 工 作 分 解 需要 修 
改 ， 项 目 计 划 需 要 扩展 ， 这 些 信 息 能 帮助 项 目 管 理 者 越 准 确 地 估计 项 目的 开发 时 间 。 

通常 ， 由 于 在 投标 阶段 没有 要 开发 的 项 目的 完整 需求 ， 不 可 避免 ， 建议 书 阶段 的 计划 
只 是 预测 性 的 。 但 是 必须 按照 客户 要 求 拿 出 建议 书 ， 对 基于 所 要 求 的 软件 功能 做 出 高 水 平 描 
述 。 计 划 通 常 是 建议 书 要 求 的 一 部 分 ， 所以， 必须 做 出 对 于 开展 工作 可 信 的 计划 。 如 果 能 够 
赢得 合同 ,通常 必须 重新 计划 项 目 ， 将 建议 书 完成 之 后 所 出 现 的 变更 以 及 关于 软件 、 开 发 过 
程 、 开 发 团队 的 信息 考虑 在 内 。 












YARRA 

当 你 估计 在 软件 项 目 上 的 工作 量 成 本 时 ， 不 能 简单 地 用 人 员 单 位 时 间 的 工资 乘 以 投 
入 到 项 目的 时 间 。 你 还 必须 考虑 所 有 的 组 织 日 常 开 支 ( 办 公 空 间 ， 管 理 等 )， 这 些 都 应 该 
是 项 目 收 入 所 承担 的 。 通 过 计算 这 些 日 常 开支 ， 加 上 项 目 中 工程 师 的 成 本 乘 上 一 个 系数 ， 
就 是 项 目的 总 的 成 本 。 


http://software-engineering-book.com/web/overhead-costs/ 
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在 投标 争取 一 个 合同 的 时 候 ， 必 须 计 算出 需 疝 客户 提出 的 开发 软件 的 价格 。 计 算 价 格 首 
先 需要 估计 完成 项 目 所 需要 的 成 本 。 这 包括 计算 完成 各 个 活动 所 需要 的 工作 量 ， 然 后 计算 所 
有 活动 的 工作 量 。 项 目 管理 者 必须 客观 地 计算 软件 成 本 ， 才 能 准确 地 预测 开发 软件 的 成 本 。 
一 旦 对 可 能 的 工作 量 有 合理 的 估计 ， 接 下 来 才能 计算 出 价格 ， 回 客户 提出 报价 。 但 是 正如 下 
一 节 要 讲 的 ， 这 不 只 是 简单 地 成 本 + 利润 ， 还 有 很 多 因素 影响 软件 项 目的 定价 。 

在 计算 软件 开发 项 目 总 成 本 时 要 使 用 以 下 3 个 主要 参数 : 

© 工作 量 成 本 (支付 给 软件 工程 师 和 管理 人 员 的 费用 ); 

o 包括 硬件 维护 和 软件 支持 在 内 的 硬件 和 软件 费用 ; 

o 差旅费 和 培训 费用 。 

对 于 绝 大 多 数 项 目 ， 主 要 的 成 本 是 工作 量 成 本 。 项 目 管理 者 必须 信 算 完成 此 项 工作 可 能 
需要 的 总 成 本 (人 月 )。 很 显然 ， 所 掌握 的 用 于 估算 的 信息 是 有 限 的 ， 所 以 必须 首先 做 出 最 
贴近 的 估算 《往往 是 偶 于 乐观 的 )， 然 后 加 上 一 个 很 大 的 应 急 开 文 《 额 外 的 时 间 和 成 本 )。 

对 于 商业 系统 来 说 ， 正 常 的 情况 下 会 使 用 相对 便宜 的 商品 硬件 。 然 而 ， 假 如 需要 得 到 中 
间 件 和 平台 软件 的 授权 的 话 ， 软 件 成 本 就 会 大 大 增加 。 如 果 项 目 是 在 不 同 地 方 开 发 ， 可 能 还 
需要 长 途 出 差 。 虽然 差 旅费 通常 只 是 工作 量 的 一 小 部 分 , 但 是 花 在 旅途 上 的 时 间 就 被 浪费 掉 
了 ， 极 大 地 增加 了 项 目的 工作 量 成 本 。 可 以 使 用 电子 会 议 系 统 和 其 他 协作 软件 减少 差 旅 ， 从 
而 有 更 多 的 时 间 进 行 有 成 效 的 工作 。 

一 旦 获得 开发 系统 的 合同 后 ， 应 该 立刻 精练 该 项 目的 框架 计划 ,创建 项 目的 局 动 计划 。 
这 个 阶段 管理 人 员 需 要 知道 更 多 的 系统 需求 。 此 时 的 目标 是 创建 一 个 能 够 帮助 项 目 人 员 决策 
补充 和 做 出 预算 的 、 包 含 足够 细节 的 项 目 计 划 。 将 这 个 计划 作为 基础 ， 在 组 织 内 部 分 配 项 目 
资源 ， 并 且 帮 助 决定 是 否 需要 雇用 新 员工 。 

上 述 计 划 也 应 包括 项 目 监控 机 制 。 项 目 管 理 者 必须 时 刻 追 蹊 项 目的 进展 ， 比 较 实 际 的 
进展 和 成 本 与 原 计 划 的 进展 和 成 本 的 不 同 。 大 部 分 的 组 织 都 有 正式 的 监控 机 制 ， 但 是 从 监控 
来 说 ， 一 个 好 的 项 目 管 理 者 应 该 能 够 从 与 员工 的 非 正 式 交谈 中 对 项 目的 情况 建立 起 清晰 的 认 
识 。 非 正式 监控 能 够 在 困难 出 现时 及 时 发 现 ， 从 而 预测 到 潜在 的 项 目 问 题 。 例 如 ， 在 与 员工 
的 日 常 交 谈 中 可 能 暴露 出 团队 在 交流 系统 中 存在 软件 故障 。 从 而 项 目 管理 者 可 以 立刻 安排 一 
个 交流 专家 帮助 发 现 和 解决 该 问题 。 

项 目 计划 在 开发 过 程 中 总 是 随 着 需求 变更 、 技 术 问题 和 开发 中 所 出 的 问题 而 改变 。 要 保 
证 项 目 计划 是 一 份 有 用 的 文件 ， 帮 助 员工 理解 要 达到 的 目标 和 软件 交付 的 时 间 。 因 此 ， 随 着 
软件 开发 的 推进 ， 需 要 修改 进度 安排 计划 、 成 本 估计 以 及 风险 估计 。 

如 果 使 用 敏捷 方法 ， 仍 然 需要 项 目 启 动 计划 。 不 论 使 用 的 是 什么 方法 ， 公 司 仍 然 需要 计 
划 如 何 给 项 目 分 配 资源 。 然 而 ,这 并 不 是 一 个 详尽 的 计划 ， 只 需要 包括 关于 工作 分 解 和 项 目 
日 程 表 这 些 必要 的 信息 。 在 开发 过 程 中 ， 要 为 每 个 软件 版 本 制订 一 个 非 正式 的 项 目 计划 和 工 
作 量 成 本 估计 ， 应 该 让 团队 所 有 员工 都 参与 到 计划 过 程 中 来 。 敏 捷 开发 的 一 些 方面 已 经 在 第 
3 章 中 涉及 ， 其 他 部 分 将 在 23.4 广 中 进行 讨论 。 


23.1 软件 报价 


原则 上 ， 对 于 客户 来 说 ， 软 件 产品 价格 只 是 简单 的 开发 成 本 加 利润 。 不 过 ， 实 际 上 项 目 成 
本 和 回 客 户 提出 的 价格 之 间 的 关系 并 不 总 是 这 样 简单 。 软 件 报价 必须 考虑 到 方方面面 的 因素 ， 
如 组 织 因素 、 经 济 和 政治 因素 、 商 业 上 的 因素 等 。 必 须 考虑 的 因素 如 图 23-1 所 示 。 必 须 考 虑 组 
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织 上 的 问题 、 项 目 相关 的 风险 ， 以 及 将 要 使 用 的 合同 的 类 型 。 这 些 都 将 引起 价格 上 升 或 者 下 降 。 
WE ee ree 人 天 eee 


ere 客户 可 能 会 愿意 让 开发 者 保留 对 源 代码 的 所 有 权 ， 并 在 其 他 项 目 中 复 用 。 这 样 
tai adil 所 收取 的 价格 可 以 降低 以 反映 源 代码 对 于 开发 人 员 的 价值 
成 本 估算 的 不 确 | “如 果 组 织 对 成 本 估算 不 太 确定 ， 它 可 能 增加 应 急 开支 项 ， 使 得 提出 的 报价 超出 
定性 




















了 一 般 收益 
财务 状况 


处 于 财务 困境 中 的 公司 可 能 会 降低 报价 来 得 到 一 份 合 同 。 比 正常 情况 下 少 赚 些 
甚至 亏 一 点 也 比 没有 项 目 好 。 在 困难 时 期 现金 流 比 利润 更 重要 
市 场 机 遇 
需求 易 杰 性 







开发 组 织 可 能 为 进入 一 个 新 的 软件 市 场 而 提出 一 个 低 的 报价 。 在 一 个 项 目 上 的 
低 回 报 可 能 会 换 来 今后 更 大 收益 的 机 会 ， 而 且 获 得 的 经 验 有 助 于 开发 新 产品 
如 果 需 求 可 能 会 发 生 改变 ， 组织 会 降低 它 的 价格 以 得 到 合同 ， 在 合同 签订 后 ， 
需求 的 改变 将 市 来 高 的 报价 


图 23-1 影响 软件 报价 的 因素 


为 了 说 明 项 目 定价 的 一 些 问 题 ， 考 虑 下 面 的 场景 。 

PharmaSo 人 是 一 家 小 型 软件 公司 ， 展 用 了 10 个 软件 工程 师 。 公 司 刚 完 成 了 一 项 大 工 
程 ， 但 是 现在 得 到 的 合同 仅 需 要 5 个 开发 人 员 就 够 了 。 但 公司 正在 竞标 一 个 主要 的 制药 公司 
的 大 合同 ， 需 要 在 2 年 内 完成 30 人 年 的 工作 。 项 目 在 至 少 12 个 月 内 不 会 动工 ， 但 一 旦 获得 
批准 ， 该 项 目 会 让 公司 的 财务 状况 有 很 大 起 色 。 

PharmaSoft 公司 得 到 一 个 机 会 竞标 一 个 需要 6 个 人 上 且 在 10 个 月 内 完成 的 项 目 。 成 本 
(包括 项 目的 日 常 开支 ) 估计 在 120 万 美金 。 但 为 了 提高 竞争 力 ，PharmaSoft 公司 给 顾客 的 
报价 是 80 万 美金 ， 这 就 意味 着 尽管 在 这 个 合同 中 损失 了 一 些 收入 ， 但 它 为 一 些 在 一 年 时 间 
内 就 会 开始 的 更 有 利 可 图 的 项 目 保 留 了 高 水 平 的 职员 。 

这 是 一 种 称 为 “赢得 合同 的 报价 ”的 软件 报价 方法 的 例子 。“ 启 得 合同 的 报价 ”意思 是 
软件 公司 对 于 客户 期 望 的 报价 有 所 了 解 ， 继 而 根据 客户 期 望 的 价格 投标 。 这 看 似 不 道德 而 且 
不 严谨 ， 然 而 对 于 客户 和 系统 开发 方 双方 都 有 一 些 好 处 。 

项 目 成 本 是 在 项 目 建议 书 的 基础 上 达成 共识 的 。 开 发 商 和 客户 之 间 通 过 协商 来 建立 详细 
的 项 目 规格 说 明 ， 该 规格 说 明 受 到 双方 认可 的 成 本 的 制约 。 买 方 和 卖方 必须 对 什么 是 可 接受 
的 系统 功能 取得 共识 。 在 许多 项 目 中 ， 不 变 的 因素 是 成 本 而 不 是 项 目 需求 。 为 了 让 成 本 处 于 
预算 范围 之 内 可 能 会 改变 需求 。 

举 个 例子 ，OilSoft 公司 投标 为 某 石 油 公 司 开 发 一 个 新 的 油料 传输 系统 ， 该 系统 为 石油 
公司 的 加 油 服务 站 安排 油料 进度 。 由 于 没有 关于 该 系统 详细 的 需求 文件 ， 开 发 者 估计 90 万 
美元 的 价格 可 能 具有 竞争 力 ， 并 且 在 石油 公司 的 预算 之 内 。 在 签订 合同 之 后 ，OilSoft 公司 
对 系统 的 详细 需求 进行 协商 以 交付 基本 的 功能 ， 然 后 再 估算 其 他 需求 带 来 的 成 本 。 

这 种 方法 对 于 软件 开发 人 员 和 客户 都 有 好 处 。 通 过 协商 避免 了 实现 困难 和 非常 昂贵 的 需 
求 。 灵 活 的 需求 能 够 更 容易 地 复 用 软件 。 这 家 石油 公司 将 合同 授予 了 一 家 可 信任 的 公司 。 甚 
至 ,项 目的 成 本 有 可 能 被 分 散 到 系统 的 多 个 版 本 之 中 。 这 样 能 减少 系统 部 署 的 费用 ， 并 且 允 
许 客户 跨 数 个 财政 年 度 进行 项 目 成 本 预算 。 


23.2 计划 驱动 的 开发 
计划 驱动 的 开发 或 者 是 基于 计划 的 开发 ， 它 是 一 种 给 开发 过 程 制订 详细 的 计划 的 软件 工程 
方法 。 首 先是 要 创建 项 目 计划 。 项 目 计划 完整 地 记录 以 下 内 容 : 要 完成 的 工作 ， 谁 将 执行 此 项 
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工作 ， 开 发 进度 安排 ， 以 及 项 目的 成 果 是 什么 。 管 理 者 使 用 计划 支持 项 目 决策 并 将 其 作为 衡量 
项 目 进 展 的 方法 。 计 划 驱 动 开 发 基于 工程 项 目 管理 技术 ， 可 以 看 作 管 理 大 型 软件 开发 项 目的 传 
统 方法 。 敏 捷 开 发 包含 一 个 不 同 的 计划 过 程 ， 其 中 决策 将 被 推迟 ， 具 体 将 在 23.4 节 中 进行 讨论 。 

计划 驱动 的 开发 的 问题 是 ， 由 于 软件 开发 和 使 用 的 环境 的 变化 ， 必 须 修 改 许多 早期 的 决 
策 。 推 迟 计 划 决 策 能 够 避免 不 必要 的 重复 工作 。 赞 同 计划 驱动 的 理由 是 ， 早 期 计划 能 够 很 好 
地 考虑 组 织 问题 (组 织 员工 等 )， 能 够 在 项 目 开 始 前 发 现 潜 在 的 问题 和 依赖 性 ， 而 不 用 等 到 
项 目 开 发 时 才 发 现 。 

在 笔者 看 来 ,项目 计 划 最 好 的 方法 是 将 计划 驱动 方法 和 敏捷 开发 结合 起 来 。 其 中 的 平衡 
取决 于 项 目的 类 型 和 人 员 的 技术 水 平 。 在 极端 的 情况 下 ， 大 型 信息 安全 和 安全 关键 性 系统 需 
要 大 量 的 前 期 分 析 ， 在 投入 使 用 前 必须 万 无 一 失 。 这 种 系统 大 部 分 应 该 是 计划 驱动 的 。 在 男 
一 种 极端 情况 下 ， 部 署 在 快速 变化 环境 中 的 小 型 或 中 型 信息 系统 应 该 使 用 敏捷 方法 开发 。 当 
几 个 公司 合作 开发 项 目 时 ， 通常 使 用 计划 驱动 的 方法 协调 各 个 开发 地 点 的 工作 。 


23.2.1 项 目 计划 


在 计划 驱动 的 项 目 开 发 中 ,项目 计 划 包 括 项 目 可 用 资源 的 分 配 、 工 作 分 解 以 及 完成 工作 的 
进度 安排 。 计 划 应 该 指出 开发 的 项 目 和 软件 的 风险 以 及 用 于 风险 管理 的 方法 。 项 目 计 划 书 的 具 
体内 容 随 着 项 目 和 开发 组 织 类 型 的 不 同 而 改变 。 不过， 多 数 的 计划 书 应 该 包括 以 下 几 个 部 分 。 

1. 引言 。 这 一 部 分 简要 论述 项 目的 目标 ， 并 列 出 影响 项 目 管理 的 种 种 约束 条 件 ， 如 预 
算 、 时 间 的 限制 等 。 

2. 项 目 组 织 。 这 一 部 分 阐述 开发 团队 的 组 织 方式 、 人 员 构 成 及 其 分 工 。 

3. 风险 分 析 。 这 一 部 分 分 析 项 目 可 能 存在 的 风险 以 及 这 些 风险 发 生 的 可 能 性 ， 并 提出 降 
低 风 险 的 策略 (在 第 22 章 中 讨论 )。 

4. 硬件 和 软件 资源 需求 。 这 一 部 分 介绍 完成 开发 所 需 的 硬件 和 支持 软件 。 如 果 需 要 购买 
硬件 ， 应 注 明 估算 的 价格 和 交付 的 时 间 。 

5. 工作 分 解 。 这 一 部 分 把 项 目 分 解 成 一 系列 的 活动 ， 并 且 识 别 每 个 项 目 活动 的 输入 和 输出 。 

6. 项 目 进度 安排 。 这 一 部 分 要 描述 项 目 中 各 活动 之 间 的 依赖 关系 。 到 达 每 个 里 程 碑 预期 
所 需 的 时 间 以 及 人 员 在 活动 中 的 分 配 。 本 章 下 一 节 将 讨论 进度 安排 可 能 的 表示 形式 。 

7. 监控 和 报告 机 制 。 这 一 部 分 说 明 要 提交 哪些 管理 报告 、 什 么 时 候 提交 ， 以 及 使 用 什么 
样 的 项 目 监控 机 制 。 

主 项 目 计划 应 当 总 是 包含 项 目 风险 评估 和 项 目 进度 安 排 。 此 外 ， 还 要 制订 多 个 补充 计 
划 ， 用 于 支持 其 他 过 程 活动 ， 例 如 测试 和 配置 管理 。 图 23-2 给 出 了 一 些 可 能 使 用 的 补充 计 
划 。 在 开发 大 型 复杂 的 项 目 时 需要 使 用 这 些 补充 计划 。 


ch Ee i 
配置 管理 计划 描述 所 要 采用 的 配置 管理 规程 和 结构 一 


ee 描述 软件 和 相关 的 硬件 (如 果 需 要 ) 在 客户 的 环境 下 会 怎样 部 署 。 其 中 应 该 包含 
ei 一 个 从 现 有 系统 迁移 数据 的 计划 


维护 计划 预测 维护 需求 、 成 本 以 及 工作 量 
质量 计划 描述 在 项 目 中 所 要 使 用 的 质量 过 程 和 标准 
确认 计划 描述 用 于 系统 确认 的 方法 、 资 源 和 进度 安排 


图 23-2 项 目 计 划 补 充 




















He 23% RA tt #! 449 


23.2.2 计划 过 程 


项 目 计 划 是 一 个 迭代 的 过 程 ， 在 项 目的 启动 阶段 初始 项 目 计 划 的 创建 就 开始 了 。 
图 23-3 是 UML 活动 图 ， 给 出 了 典型 的 项 目 计 划 过 程 的 工作 流 。 计 划 不 可 避免 地 会 改变 。 由 
于 在 项 目 进 行 期 间 不 断 产 生 新 的 关于 系统 和 项 目 团队 的 信息 ， 所 以 必须 经 常 性 地 修正 原 有 的 
计划 ,反映 需求 、 进 度 安排 以 及 风险 的 变更 。 业 务 目 标 发 生 改变 ， 也 会 导致 项 目 计划 相应 地 
改变 。 业 务 目标 发 生 改 变 ， 会 影响 到 所 有 的 项 目 ， 这 些 项 目 就 必须 重新 计划 。 


«system» [ 未 完成 ] [项 目 已 完成 ] 
项 目 计划 者 Y © 
识别 约束 
进行 工作 
ea 


[小 的 问题 和 进度 延迟 ] 
启动 风险 Hr hiy 
绥 解 措施 i HHE 
图 23-3 项 目 计 划 过 程 


在 计划 过 程 的 开始 阶段 ， 应 该 从 评估 影响 项 目的 各 种 约束 条 件 开始 。 这 些 约束 条 件 包 
括 项 目的 交付 日 期 、 现 有 的 人 员 情 况 、 总 体 预 算 、 可 用 工具 等 。 男 外 还 要 定义 项 目的 里 程 碑 
和 可 交付 物 。 里 程 碑 是 进度 安排 中 的 能 够 估计 项 目 进展 的 那些 位 置 点 ， 比 如 移交 系统 进行 测 
试 。 可 交付 物 是 交付 给 客户 的 项 目 成 果 (比如 系统 的 需求 文档 )。 

接 下 去 计划 过 程 进 入 一 个 循环 直到 项 目 完成 时 结束 。 拟 定 项 目的 进度 安排 ， 并 启动 进度 
安排 中 的 各 种 活动 或 继续 某 些 活动 。 在 一 段 时 间 之 后 (通常 约 2 一 3 星期 )， 检 查 项 目的 进 
展 状况 ,注意 项 目 进 展 与 进度 安排 的 偏差 。 因 为 最 初 对 项 目 参 数 的 估算 肯定 是 近似 的 ， 存 在 
小 的 拖延 是 正常 的 ， 所 以 计划 需要 不 断 地 修改 。 

当 定 义 一 个 项 目 计 划 时 ， 应 该 做 出 现实 的 而 不 是 乐观 的 假设 。 在 一 个 项 目 中 一 些 问题 会 
不 停 地 出 现 ， 这 将 导致 项 目的 延期 。 项 目 开 始 时 的 假设 和 进度 安排 应 该 适当 保持 莫 观 ， 并 且 
将 非 预 期 的 问题 也 考虑 进来 。 在 拟定 计划 时 应 该 把 各 种 偶然 因素 考虑 进去 ， 这样 假如 发 生 问 
题 ， 交 付 进 度 不 会 被 严重 地 中 断 。 

如 打开 发 工作 发 生产 重 的 问题 ， 可 能 导致 项 目 很 大 的 延期 ， 就 需要 采取 风险 缓解 措施 减少 
项 目 失效 的 风险 。 除 了 这 些 措施 ， 还 需要 重新 计划 项 目 ， 可 能 就 项 目的 种 种 约束 条 件 和 可 交付 
物 的 有 关 事宜 ， 重 新 与 客户 协商 。 应 该 重新 建立 新 的 何 时 完工 的 进度 安排 ， 并 征 得 客户 同意 。 

如 果 协 商 不 成 或 者 风险 缓解 措施 没有 效果 ， 就 应 该 安排 正式 的 项 目 技术 评审 。 评 审 的 目 
标 是 找到 能 够 使 得 项 目 继续 进行 的 替代 方法 ， 评 审 也 要 检查 客户 的 目标 是 否 发 生变 化 以 及 项 
目 是 否 与 目标 一 致 。 

评审 (review) 的 结果 可 能 是 做 出 取消 项 目的 决定 。 这 可 能 是 技术 上 或 者 管理 上 的 失败 。 
但 是 ， 更 可 能 是 外 部 变化 影响 项 目的 结果 。 大 型 软件 的 开发 时 间 往 往 长 达 数 年 。 在 开发 过 程 
中 ,业务 目标 和 企业 优先 考虑 的 事情 不 可 避免 地 会 发 生变 化 。 如 果 这 些 变化 表明 不 再 需要 这 
套 软 件 或 者 原始 项 目 需求 不 妥 ， 管 理 人 员 可 能 决定 停止 软件 开发 ， 或 者 对 项 目 做 出 重大 改变 


识别 风险 定义 项 目 进度 
根据 计划 监控 dy 
定义 里 程 碑 oe [有 严重 问题 ] 
和 可 交付 物 
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以 反映 组 织 的 目标 变化 。 


23.3 项 目 进度 安排 


项 目 进度 安排 是 决定 如 何 组 织 项 目 工作 ,将 其 分 割 成 单独 的 一 个 个 任务 ， 并 且 何 时 以 何 
种 方式 完成 各 项 任务 的 过 程 。 需 要 估算 需要 用 于 完成 各 个 任务 的 时 间 、 需 要 的 成 本 以 及 完 
这 些 既 定 任 务 的 人 员 。 除 此 之 外 ， 还 必须 估算 完成 每 项 任务 所 需要 的 硬件 和 软件 资源 ， 比 如 
在 开发 钥 入 式 系 统 时 ， 要 售 算 在 专用 硬件 上 需要 的 时 间 和 运行 一 个 系统 模拟 融 的 成 本 。 正 如 
本 章 开 篇 所 讨论 的 ,项 目 启动 阶段 通常 会 创建 一 个 初始 项 目 进度 安排 。 此 进度 安排 会 在 后 续 
的 开发 计划 过 程 中 进一步 得 到 修改 。 

基于 计划 的 过 程 和 敏捷 过 程 都 需要 初始 项 目 进度 安排 ， 只 是 敏捷 项 目 计 划 不 太 详 细 。 初 
始 进度 安排 用 于 计划 如 何 给 项 目 分 配 人 员 ， 检 查 项 目 进展 是 否 符合 合同 承诺 。 传 统 开 发 过 程 
中 ， 在 开始 阶段 就 创建 完整 的 进度 安排 ， 并 且 随 着 项 目 进行 而 修改 。 敏 捷 过 程 中 ， 必 须 有 一 
个 总 的 进度 安排 确定 何 时 完成 项 目的 各 个 主要 阶段 。 然 后 再 使 用 迭代 的 方法 计划 各 个 阶段 。 

计划 驱动 项 目的 进度 安排 CULPA 23-4) 包括 把 一 个 项 目 所 有 的 工作 分 解 为 大 十 个 独立 的 
任务 ， 以 及 判断 完成 这 些 任务 所 需 的 时 间 。 正 常情 况 下 项 目的 各 项 活动 应 该 至 少 持 续 一 周 ， 
并 短 于 两 个 月 。 更 细 的 划分 则 意味 着 在 重新 计划 和 更 新 项 目 计划 时 会 花 掉 太 多 时 间 。 对 所 有 
项 目 活动 安排 的 最 高 的 时 间 期 限 约 为 6 一 8 周 。 如 果 一 项 活动 持续 的 时 间 超 出 这 个 范围 ， 就 


应 该 在 项 目 计 划 和 进度 安排 中 再 次 细 分 。 


nine 识别 活动 估计 活动 
识别 活动 依赖 关系 所 需 的 资源 


软件 需求 和 设计 信息 描述 项 目 进度 的 条 状 图 
图 23-4 ”项目 进 度 安排 过 程 


有 些 任务 是 并 行进 行 的 ,- 不 同 的 员工 研发 系统 不 同 的 部 件 。 人 负责 进 度 安排 的 人 员 必 须 协 
调 这 些 并 行 任务 并 把 整个 工作 组 织 起 来 ， 从 而 使 工作 量 资源 得 到 充分 利用 。 同 时 尽量 避 人 免 各 
个 任务 之 间 不 必要 的 依赖 性 。 一 定 要 避免 出 现 因 一 项 关键 任务 没有 完成 而 使 整个 项 目 延 期 交 
付 的 情形 。 

如 果 一 个 项 目 在 技术 上 非常 先进 ， 即 使 管理 者 把 所 有 可 能 的 意外 都 考虑 进去 ， 初 始 的 舍 
算 也 肯定 是 偏 乐 观 的 。 在 这 一 点 上 ， 软 件 进度 安排 与 任何 其 他 类 型 的 大 型 高 技术 项 目 没有 什 
么 不 同 。 新 的 飞机 、 桥 梁 甚 至 新 型 的 汽车 因为 意 想不到 的 问题 常常 延期 交付 。 因 此 ， 随 着 有 
关 项 目 进 展 信 息 的 增多 ， 必 须 不 断 地 更 新 项 目 进度 安排 。 如 果 进 行进 度 安 排 的 项 目 与 原来 某 
项 目 相 似 ， 可 以 沿用 原来 的 进度 安排 。 事 实 上 ， 由 于 不 同 项 目 可 能 使 用 不 同 的 设计 方法 和 使 
用 不 同 的 实现 语言 ， 先 前 项 目的 经 验 可 能 不 适用 于 计划 新 项 目 。 

在 估算 进度 时 ， 管 理 者 应 该 考虑 到 项 目 出 现 问题 的 可 能 性 。 比 如 ， 做 这 个 项 目的 个 别人 员 
可 能 生病 或 离职 ， 硬 件 可 能 会 月 溃 ， 所 需 的 基本 的 支持 软件 或 硬件 有 可 能 迟 迟 不 能 交付 。 如 采 
这 是 个 新 项 目 并 且 技 术 先 进 ， 其 中 某 些 部 分 可 能 比 原来 预期 的 要 困难 得 多 ， 花 费 的 时 间 也 多 。 

一 个 好 的 经 验 法 则 是 ， 进 行 估算 时 先 假定 什么 问题 也 没有 ， 然 后 再 把 预计 出 现 的 问题 加 
到 估算 中 去 。 其 他 的 偶然 因素 可 能 带 来 意 想 不 到 的 问题 ， 在 估算 时 也 可 以 考虑 进去 。 这 些 偶 









为 各 个 活动 
分 配 人 员 
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然 因 素 是 由 项 目的 类 型 、 过 程 参 数 (最 后 期 限 、 标 准 等 ) 以 及 该 项 目的 软件 工程 人 员 的 素质 
和 经 验 决 定 的 。 意 外 情况 可 能 使 项 目 需 要 的 成 本 和 时 间 增 加 30% 一 50%. 


Osa 


活动 图 是 项 目 进 度 安排 的 一 种 表示 方法 ， 并 以 有 向 图 (directed graph) 的 形式 展示 了 
项 目 计 划 。 它 给 出 那些 能 并 行 执行 的 任务 和 那些 必须 按 顺 序 执行 的 任务 ， 这 些 都 是 根据 某 
任务 对 先前 的 任务 的 依赖 关系 做 出 的 。 如 果 一 个 任务 依赖 于 几 个 其 他 任务 ， 那 么 所 有 被 依 
赖 关系 的 任务 都 必须 在 此 任务 开始 之 前 完成 。 活 动 图 中 所 谓 的 “关键 路 径 ” 是 最 长 的 依赖 
任务 序列 。 它 决定 了 项 目的 持续 时 间 。 


http://software-engineering-book.com/web/planning-activities/ 













23.3.1 进度 安排 表示 方法 


项 目 进度 安排 可 简单 地 用 一 个 表 来 表示 。 列 出 任务 、 佑 计 工 作 量 、 工 期 、 任 务 依赖 关系 
( 见 图 23-5 )。 但 是 这 种 表示 方式 很 难 发 现 不 同 活动 之 间 的 关系 和 依赖 性 。 所 以 ， 人 们 研究 出 
了 为 外 一 些 更 容易 阅读 和 理解 的 图 形 可 视 化 方法 。 通 常 使 用 的 有 以 下 两 种 表示 方法 : 

1. 基于 日 历时 间 的 条 状 图 ， 可 以 表示 每 项 活动 的 负责 大 是 谁 、 预 计 所 用 的 时 间 ， 以 及 该 
项 活动 预计 的 开始 和 结束 时 间 。 条 状 图 有 时 也 叫 甘 特 图 ， 是 以 发 明 人 Henry Gantt 命名 的 。 

2. 活动 网 络 ， 表 示 构 成 项 目的 不 同 活动 之 间 的 依赖 关系 。 这 些 网 络 在 相应 的 在 线 章 节 中 








持续 时 间 (天 ) 依赖 关系 
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ee | | 
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图 23-5 任务、 持续 时 间 以 及 依赖 关系 


项 目 活动 是 基本 的 计划 单元 ， 每 个 活动 有 : 

e 以 天 或 者 以 月 计算 的 工期 (持续 时 间 ); 

e 工作 量 估 计 ， 反 映 完成 工作 所 需 的 人 日 或 人 月 数 ; 

© 活动 完成 的 最 后 期 限 ; 

e 定义 好 的 终点 ， 可 以 是 一 份 文档 、 举 行 评审 会 或 者 是 成 功 执 行 了 所 有 测试 等 。 
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，， 在 进行 项 目 计 划 时 ， 应 该 建立 项 目 里 程 碑 。 一 个 里 程 碑 就 是 一 个 项 目 阶段 的 逻辑 终点 ， 
ee 评审 。 每 个 里 程 碑 应 该 用 一 个 简短 的 报告 (通常 是 一 封 
邮件 ) 记录 下 来 ， 总 结 已 经 完成 的 工作 以 及 工作 是 否 按 照 计 划 完 成 。 里 程 碑 可 能 是 关于 单个 
的 任务 或 者 是 一 组 相关 联 的 活动 。 例 如 ， 在 图 23-5 中 ， 里 程 碑 MI 和 任务 TI 有关， 并 且 标 
记 了 该 活动 的 结束 。 而 里 程 碑 M3 和 两 个 任务 T2、T4 有 关 ; 在 任务 结束 的 时 候 没 有 单独 的 
里 程 碑 。 

一 些 活动 会 形成 项 目 可 交付 物 一 一 作为 产品 交付 给 软件 客户 的 输出 。 通 常情 况 ， 可 交付 
的 文档 是 在 项 目 合同 中 明确 说 明 的 ， 在 客户 看 来 项 目的 进展 表现 为 这 些 可 交付 的 文档 。 里 程 
碑 和 可 交付 物 并 不 相同 。 里 程 碑 是 用 于 汇报 进度 情况 的 简短 报告 ， 而 可 交付 物 是 更 具体 的 项 
目 输出 ， 比 如 需求 文档 或 系统 初始 实现 。 

图 23-5 展示 了 一 组 假想 的 任务 、 估 计 的 工作 量 投入 和 持续 时 间 ， 以 及 任务 之 间 的 依赖 
关系 。 从 图 23-5 可 以 看 出 任务 T3 依赖 于 任务 T1， 也 就 是 说 Tl 必须 要 在 T3 开始 前 完成 。 
例如 ，T1 必须 因为 系统 复 用 而 进行 选择 ， 而 T3 则 对 被 选择 的 系统 进行 配置 。 在 选择 和 安装 
将 被 修改 的 应 用 系统 之 前 ， 不 能 开始 系统 的 配置 。 

可 以 看 出 一 些 活动 估计 的 持续 时 间 比 必需 的 工作 量 长 ; 而 有 些 则 相反 。 如 果 工 作 量 比 持 
续 时 间 少 ， 这 就 表示 分 配 到 这 个 任务 的 人 员 没 有 全 职工 作 。 如 果 工 作 量 超过 持续 时 间 ， 就 表 
示 几 个 成 员 同 时 进行 这 个 任务 。 

图 23-6 是 使 用 图 23-5 中 的 信息 以 条 状 图 的 形式 表示 项 目的 进度 安排 ,表示 了 项 目的 日 
程 安排 和 各 项 任务 的 开始 和 完成 日 期 。 从 左 往 右 阅 读 ， 条 状 图 清晰 地 表示 任务 何 时 开始 以 及 
何 时 结束 。 条 状 图 中 也 标明 了 里 程 碑 (M1、M2 等 )。 可 以 看 出 独立 的 任务 是 并 行 执行 的 ( 比 


如 任务 T1、T2 和 T4 都 在 项 目的 起 始 处 开始 执行 )。 
- 
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图 2 23-6 活动 条 状 图 
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除了 考虑 进度 安排 外 ， 项 目 管理 者 还 要 考虑 资源 的 分 配 ， 尤 其 是 参加 项 目 活 动 的 人 员 的 
分 配 ， 以 及 给 他 们 分 配 项 目 任 务 。 可 以 用 项 目 管理 工具 对 资源 分 配 进行 分 析 ， 生 成 条 状 图 ， 
从 而 显示 在 哪些 时 间 段 上 雇用 哪些 职员 ( 见 图 23-7 )。 项 目 职员 可 能 同时 承担 多 个 任务 ， 或 
者 有 时 他 们 并 不 在 项 目 中 工作 。 在 这 期 间 他 们 可 以 休假 、 做 别 的 项 目 或 参加 培训 。 图 23-7 
中 的 兼职 任务 使 用 对 角 线 在 任务 条 上 标识 。 
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图 23-7 “人 员 分 配 图 


大 型 的 开发 组 织 通 常会 根据 项 目 需求 聘请 许多 专家 ， 这 有 可 能 影响 项 目的 进度 安排 。 在 
图 23-7 中 ， 我 们 可 以 看 到 ，Mary 是 一 位 专家 ， 只 参加 项 目 中 的 一 个 任务 《TS )。 在 开发 复 
杂 的 系统 时 ， 专 家 的 使 用 是 不 可 避免 的 ， 但 是 这 有 可 能 引起 进度 安排 问题 。 如 果 有 专家 参与 
的 一 个 项 目 延 迟 了 了， 就 会 给 其 他 也 需要 专家 的 项 目 带 来 连锁 反应 。 因 为 专家 无 法 到 位 ， 这 些 
项 目 很 可 能 也 要 延迟 完成 。 

如 果 任 务 延 期 了 ， 将 明显 地 影响 以 后 的 依赖 于 它 的 其 他 任务 。 只 有 延期 的 项 目 完成 后 ， 
其 他 项 目 才 能 开始 。 任 务 延 期 会 引起 严重 的 人 员 分 配 问题 ， 特 别 是 在 人 员 同 时 参与 几 个 项 目 
的 情况 下 。 如 果 任 务 T 延 期 ， 可 能 将 分 配给 任务 T 的 人 员 分 配 其 他 工作 (任务 W)。 完 成 任 
务 W 可 能 比 任务 T 的 时 间 长 ， 但 是 人 员 一 旦 分 配 出 去 ， 就 不 可 能 轻易 地 将 他 们 重新 分 配 回 
原来 的 任务 (T) 由 于 等 待 任务 W 的 完成 ， 这 将 进一步 导致 任务 IT 的 延期 。 

通常 情况 下 ， 应 当 使 用 一 个 项 目 计划 工具 (例如 Basecamp 或 Microsoft Project) XE 
建 、 更 新 和 分 析 项 目 进度 信息 。 项 目 管理 工具 通常 需要 将 项 目 信 息 输 入 到 一 个 表格 里 ， 而 这 
些 工具 会 创建 一 个 项 目 信 息 的 数据 库 。 接 着 ， 这 些 工具 可 以 自动 从 数据 库 中 生成 条 状 图 和 活 
动 图 。 


23.4 敏捷 计划 
软件 开发 中 的 敏捷 方法 是 一 种 迭代 的 方法 ， 软 件 是 以 增 量 式 方式 进行 开发 和 交付 给 客 
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. 户 。 和 计划 驱动 方法 不 一 样 的 是 ， 这 些 增 量 中 的 功能 不 是 提前 计划 好 的 ， 而 是 在 开发 过 程 中 
决定 的 。 决 定 增 量 包 中 包含 何 种 功能 取决 于 项 目 进 展 情况 以 及 客户 的 需求 的 优先 级 。 选 择 这 
个 方法 的 理由 是 ， 客 户 需 求 的 优先 级 和 需求 经 常 改变 ， 所 以 制订 能 适应 这 些 变化 的 灵活 的 计 
划 是 合理 的 。Cohn 的 书 (Cohn 2005 ) 对 敏捷 计划 进行 了 很 好 的 介绍 。 

敏捷 开发 方法 ， 例 如 Scrum (Rubin 2003 ) 和 极限 编程 (Beck and Andres 2004 )， 使 用 
的 是 一 个 两 阶段 的 计划 方法 ， 对 应 于 计划 驱动 的 开发 中 的 启动 阶段 和 开发 计划 阶段 。 

1. 发 布 计 划 ， 包 括 对 未 来 几 月 的 展望 以 及 决定 系统 的 发 布 版 本 中 应 该 包含 的 功能 。 

2. 迭代 计划 ， 包 括 短 期 的 展望 ， 主 要 是 计划 系统 的 下 一 个 增 量 。 一 般 这 将 花费 整个 团队 
2 一 4 周 的 工作 量 。 

第 3 章 讨论 了 Scrum 计划 方法 ， 它 基于 要 完成 的 工作 的 项 目 竺 办 事项 和 每 日 评审 。 它 
主要 适合 迭代 计划 。 另 一 个 敏捷 计划 的 方法 是 基于 用 户 故 事 ， 是 作为 极限 编程 的 一 部 分 提出 
来 的 。 所 谓 的 计划 游戏 可 以 用 于 发 布 计划 和 迭代 计划 。 

计划 游戏 ( 见 图 23-8 ) 的 基础 是 一 组 用 户 故 事 ， 这些 用 户 故 事 ( 见 第 3 章 ) EA eA 
系统 中 包括 的 所 有 功能 。 开 发 团队 和 软件 客户 一 起 工作 来 确定 这 些 故 事 。 开 发 团队 成 员 阅 读 
并 讨论 这 些 故 事 ， 然 后 按照 实现 这 些 故事 所 需要 的 时 间 将 故事 排序 。 有 些 故 事 可 能 较 大 ， 以 
至 于 一 次 欠 代 不 能 够 实现 ， 因 此 这 些 较 大 的 故事 会 被 拆 分 成 较 小 的 故事 。 
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图 23-8 ”计划 游戏 


将 故事 排序 的 难点 在 于 ， 人 们 经 常 发 现 评 估 做 某 些 事情 所 需要 的 工作 量 和 时 间 是 很 困难 
的 。 为 了 简化 该 过 程 ， 需 要 使 用 相对 排序 。 不 用 精确 地 估计 需要 付出 的 工作 量 ， 团 队 成 对 地 
比较 这 些 故 事 并 确定 哪些 故事 需要 最 多 的 工作 量 和 时 间 ， 从 而 不 需要 确切 地 评估 每 个 场景 需 
要 的 工作 量 。 在 该 过 程 的 最 后 ， 用 户 故 事 的 列表 是 有 序 的 ， 并 且 列 表 中 最 前 面 的 故事 实现 时 
需要 付出 最 多 的 工作 量 。 随 后 ,项 目 组 给 列表 中 的 这 些 故 事 分 配 理论 工作 量 点 。 一 个 复 末 的 
故事 需要 8 个 点 ， 简 单 的 需要 2 个 点 。 

进行 了 故事 估算 之 后 ， 使 用 一 个 “速度 ”的 概念 ， 将 相对 工作 量 转变 成 对 所 要 求 的 总 体 
工作 量 的 第 一 次 估计 。 速 度 是 项 目 组 每 天 所 能 完成 的 工作 量 点 数量 。 这 可 以 通过 之 前 的 经 验 
估计 ， 或 者 通过 实现 一 两 个 故事 来 了 解 需要 多 少时 间 。 速 度 估计 虽然 是 近似 的 ， 但 是 可 以 在 
开发 过 程 中 进一步 精练 。 一 旦 有 了 速度 估计 ， 就 能 够 以 人 日 为 单位 计算 实现 整个 系统 所 需 的 
工作 量 。 

发 布 计划 包 插 选择 和 完善 上 述 故 事 ， 这 些 故 事 反 映 了 在 系统 的 发 布 版 本 中 应 实现 的 
功能 以 及 实现 这 些 故 事 的 顺序 。 客 户 应 该 参与 这 个 过 程 。 接 下 来 选择 一 个 发 布 日 期 检查 
故事 以 判断 工作 量 估计 是 否 满足 发 布 日 期 。 假 如 不 满足 的 话 ， 增 加 或 者 删除 清单 上 的 一 些 
故事 。 

迭代 计划 是 开发 增 量 交 付 系 统 的 第 一 步 。 选 择 迭 代 过 程 要 实现 的 故事 ， 故 事 的 个 数 反 映 
了 交付 一 个 可 行 系统 的 时 间 (通常 为 2 一 3 周 ) 和 项 目 组 的 速度 。 和 迭代 交付 日 期 到 达 之 时 ， 
即使 并 不 是 所 有 故事 都 已 实现 ， 这 次 开发 迭代 也 宣告 完成 。 项 目 组 考虑 已 实现 的 故事 ， 增 加 
其 工作 量 点 。 重 新 计算 速度 ,将 其 用 于 下 一 个 系统 版 本 的 计划 。 











迭代 
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每 次 开发 迭代 的 开始 ， 会 有 一 个 任务 计划 阶段 ， 开 发 人 员 将 故事 拆 分 成 各 个 开发 任务 。 
一 项 开发 任务 大 概 花 费 4 一 16h。 列 出 所 有 这 次 迭代 中 必须 完成 的 任务 。 每 个 开发 者 申请 他 
们 要 完成 的 任务 。 每 个 开发 者 知道 自己 的 开发 速度 ,不 能 申请 比 他 们 在 规定 时 间 内 能 完成 的 
更 多 的 任务 量 。 

这 个 任务 分 配方 法 有 如 下 两 个 主要 的 好 处 : 

1. 整个 项 目 组 对 迭代 过 程 中 要 完成 的 任务 有 一 个 整体 认识 。 因 此 他 们 能 够 理解 项 目 组 其 
他 成 员 的 工作 内 容 以 及 确定 任务 依赖 关系 后 应 和 谁 交 流 。 

2. 每 个 开发 者 选择 要 完成 的 任务 ， 并 不 是 简单 地 由 项 目 管理 者 分 配 任务 。 这 样 开发 者 对 
目 己 选择 的 任务 有 一 种 拥有 感 ， 这 会 激发 他 们 更 好 地 完成 任务 。 

迭代 过 程 进 行 到 一 半 的 时 候 ， 进 行进 展 评审 。 这 时 ， 应 该 已 完成 一 半 的 故事 工作 量 点 。 
所 以 ， 如 果 一 次 迭代 包含 24 个 故事 点 和 36 个 任务 。 应 该 已 完成 12 个 故事 点 和 18 个 任务 。 
如 条 没有 完成 的 话 ， 必 须 征询 客户 的 意见 删除 迭代 中 的 一 些 故事 。 

这 种 计划 方法 有 一 个 好 处 ， 软 件 增 量 一 直 在 每 次 项 目 迭 代 的 结尾 进行 交付 。 假 如 增 量 
中 包含 的 特征 在 允许 的 时 间 内 不 能 完成 ， 就 将 减少 相应 的 工作 量 。 交 付 进 度 任何 时 候 都 不 会 
延长 。 但 是 ， 这 意味 着 客户 计划 会 受到 影响 从 而 产生 问题 。 减 量 会 给 客户 带 来 额外 负担 ， 因 
为 他 们 不 得 不 使 用 不 完整 的 系统 ， 或 者 要 在 两 个 系统 版 本 之 间 的 切换 从 而 改变 了 他 们 的 工作 
方式 。 

敏捷 方法 中 的 主要 困难 在 于 依赖 于 客户 参与 。 客 户 参 与 很 难 进行 安排 ， 因 为 客户 代表 有 
时 要 先 忙 于 其 他 工作 并 且 可 能 没有 时 间 进 行 计划 游戏 。 客 户 可 能 更 加 熟悉 传统 项 目 计 划 ， 也 
许 很 难 参与 到 敏捷 计划 项 目 中 。 

对 于 那些 能 聚 在 一 起 讨论 要 实现 的 故事 的 小 型 的 、 稳 定 的 开发 团队 而 言 ， 敏 捷 方 法 能 够 
很 好 地 运作 。 但 是 对 于 那些 庞大 并 且 分 布 在 不 同 地 点 的 项 目 组 或 者 组 员 频 繁 变动 的 项 目 组 而 
言 ， 实 际 上 不 可 能 每 个 人 参与 到 敏捷 项 目 管 理 中 最 为 核心 的 集体 计划 中 。 所 以 ， 通 常 使 用 传 
统 软件 管理 方法 对 大 型 项 目 进行 计划 。 


23.5 估算 技术 


项 目 进度 估算 非常 困难 。 初 始 的 估算 可 能 需要 根据 不 完整 的 用 户 需求 定义 做 出 。 软 件 可 
能 需要 运行 于 某 些 特殊 类 型 的 平台 上 ， 或 者 需要 运用 到 新 的 开发 技术 。 项 目 管理 者 对 参与 到 
项 目 中 来 的 人 员 的 技术 水 平 可 能 还 一 无 所 知 。 如 此 多 的 不 确定 因素 意味 着 ， 在 项 目 早期 阶段 
对 系统 开发 成 本 进行 精确 估算 是 相当 困难 的 。 尽 管 如 此 ， 组 织 还 是 需要 对 软件 所 需 工作 量 和 
成 本 进行 估算 的 。 有 以 下 两 种 类 型 的 估算 技术 。 

1. 基于 经 验 的 技术 。 使 用 管理 者 之 前 项 目 和 应 用 领域 的 经 验 估算 要 求 的 未 来 工作 量 ， 即 
管理 者 主观 给 出 所 需要 的 工作 量 的 一 个 估计 。 

2. 算法 成 本 建 模 。 这 类 方法 使 用 一 种 公式 化 的 方法 计算 项 目的 工作 量 ， 基 于 对 产品 属性 
(规模 、 过 程 特点 和 参与 员工 的 经 验 ) 的 估计 。 

无 论 以 上 哪 种 技术 ， 都 需要 使 用 判断 力 直接 估算 工作 量 或 者 估算 项 目 和 产品 特点 。 在 项 
目的 启动 阶段 ， 估 计 的 偏差 比较 大 。 基 于 从 大 量 项 目 中 收集 的 数据 ，Boehm 等 (B. Boehm 
et al. 1995) 发 现 启动 阶段 的 估算 差异 巨大 。 假 如 开始 的 工作 量 估 计 是 x 个 月 ， 那 么 系统 交 
付 时 测量 的 实际 工作 量 范围 可 能 是 0.25x ~ 4x。 在 开发 计划 中 ， 随 着 项 目的 进行 估算 会 越 来 
Bm (LE 23-9 )。 
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可 行 性 需求 设计 代码 交付 


0.5x 


0.25x 
图 23-9 ”估算 的 不 确定 性 


基于 经 验 的 技术 依赖 管理 者 之 前 项 目的 经 验 以 及 这 些 项 目 中 有 关 软 件 开 发 活动 上 的 实 
味 工作 量 投 入 。 通 常 ， 项目 管 理 者 需要 定义 项 目 中 要 生成 的 可 交付 物 以 及 不 同 的 软件 构件 或 
者 要 开发 的 系统 。 将 这 些 内 容 记录 在 电子 表格 中 ， 单 独 估算 各 个 子 项 ， 再 计算 需要 的 总 工作 
量 。 通 常 召 集 一 组 人 参与 估算 工作 量 ， 并 要 求 每 个 组 员 解 释 各 自 的 估算 结果 ， 这 样 做 很 有 帮 
助 。 很 多 情况 下 这 将 暴露 别人 没 考虑 到 的 因素 ， 管 理 者 重复 这 个 过 程 谋求 一 个 达成 共识 的 佑 
算 结果 。 

基于 经 验 的 技术 的 困难 在 于 一 项 新 软件 项 目 可 能 和 之 前 的 项 目 没有 太 多 的 共同 点 。 软 件 
开发 变化 非常 快 ， 软 件 开发 项 目 经 常 使 用 一 些 不 熟悉 的 技术 ,例如 Web 服务 、 应 用 系统 配 
置 、HTML5。 如 果 管 理 者 没有 使 用 过 这 些 技术 ， 之 前 的 经 验 可 能 对 估算 需要 的 工作 量 没 有 
帮助 ， 从 而 使 准确 的 成 本 和 进度 估算 更 加 困难 。 

很 难说 基于 经 验 的 方法 和 算法 评估 方法 哪 一 个 更 加 准确 。 项 目 估算 通常 是 先 人 为 主 的 。 
项 目 估 算 是 用 来 确定 项 目 预 算 ， 然后 通过 调整 产品 以 保证 预算 不 被 突破 。 为 了 让 项 目 开 文 控 
制 在 预算 之 内 ， 可 能 会 牺牲 一 些 竺 开发 的 软件 特性 。 

为 了 比较 不 同方 法 的 准确 性 ， 需 要 进行 大 量 的 对 照 实 验 ， 每 一 种 方法 均 独 立地 用 来 佑 
算 项 目的 工作 量 和 和 成本。 在 实验 的 过 程 中 项 目 不 允 许 被 修改 ， 因 此 ， 最 终 由 每 种 方法 估算 的 
工作 量 就 可 以 进行 比较 。 项 目 管理 者 不 会 知道 工作 量 人 和 估算， 这样 就 可 以 保证 不 引入 偏见 。 然 
而 ， 这 样 的 场景 在 实际 项 目 中 是 完全 不 可 能 的 ， 所 以 我 们 永远 无 法 对 这 些 方法 进行 客观 地 
比较 。 


23.5.1 算法 成 本 建 模 


算法 成 本 建 模 基 于 对 项 目的 规模 的 估算 、 开 发 的 项 目 类 型 其 他 团队 、 过 程 和 产品 因 
素 ， 用 一 个 数学 公式 预测 项 目的 成 本 。 算 法 成 本 模型 可 以 通过 对 已 完成 项 目的 成 本 及 其 特性 
的 分 析 建 立 起 来 ， 并 找到 最 接近 的 公式 适应 实际 情况 。 

算法 成 本 模型 主要 用 于 估算 软件 的 开发 成 本 ,但 Boehm 以 及 他 的 合作 者 (B. W. Boehm 
et al. 2000) 讨论 了 这 些 模 型 的 另外 一 些 用 途 ， 例 如 为 软件 公司 投资 者 做 估算 准备 ， 帮 助 评 
估 风 险 的 可 选 策略 ， 以 及 关于 经 验 性 的 复 用 、 再 开发 或 外 购 的 决策 。 

软件 项 目 中 的 工作 量 估算 的 算法 模型 可 基于 一 个 简单 的 公式 : 

Effort = A x Size? x M 
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A, 一 个 常量 因子 ， 依 赖 于 组 织 的 实践 经 验 和 所 开发 的 软件 类 型 。 

Size， 一 个 对 软件 的 代码 规模 或 是 用 功能 点 或 应 用 点 表示 的 功能 的 估算 。 

B ， 表 示 软 件 复 杂 度 ， 其 值 通常 在 为 1 一 1.5。 

M， 一 个 乘 数 因子 ， 反 映 了 过 程 、 产 品 、 开 发 属性 ， 例 如 软件 的 可 依赖 性 需求 ， 以 及 开 
发 团队 的 经 验 等 综合 因素 。 这 些 属 性 有 可 能 造成 开发 系统 总 体 难 度 的 增加 或 降低 。 

交付 的 系统 中 的 源 代 码 的 行 数 (Source Lines Of Code, SLOC) 是 基本 的 规模 度量 标准 ， 
可 以 用 于 许多 的 算法 成 本 建 模 。 为 了 估计 系统 中 代码 行 数 ， 我 们 可 以 组 合 使 用 以 下 的 方法 : 

1. 对 比 待 开发 的 系统 与 已 开发 的 相似 系统 ， 并 基于 相似 系统 的 代码 规模 进行 估算 。 

2. 估算 系统 中 的 功能 点 和 应 用 点 的 数量 ( 见 前 面 的 章节 )， 并 公式 化 地 将 其 转化 为 相应 
编程 语言 所 对 应 的 代码 行 数 。 

3. 根据 程序 中 构件 的 相对 大 小 将 其 排序 ， 然 后 通过 已 知 的 参考 构件 来 将 之 前 排序 好 的 构 
件 转 化 成 代码 规模 。 

绝 大 多 数 算法 估算 模型 都 有 指数 成 分 (上 式 中 的 B)， 这 与 规模 和 系统 的 复杂 度 成 正比 。 
这 反映 T 了 一 个 事实 ， 即 成 本 一 般 都 不 是 与 项 目 规模 呈 线 性 关系 的 。 随 着 软件 规模 和 复杂 度 的 
增 大 ,扩大 的 团队 的 通信 费用 在 增加 ， 需 要 的 配置 管理 更 复杂 ， 系 统 的 集成 难度 也 在 加 大 ， 
所 有 这 些 都 要 付出 额外 的 费用 。 系 统 越 复 杂 ， 这 些 因素 影响 成 本 越 多 。 

用 科学 客观 的 方法 进行 成 本 估算 的 想法 很 有 吸引 力 ， 但 是 所 有 的 估算 模型 都 存在 以 下 两 
个 主要 问题 : 

1. 在 项 目 早期 阶段 只 有 规格 说 明 存 在 的 情况 下 ， 估 算 Size 通常 是 个 难题 。 功 能 点 和 应 
用 点 估算 (后面 将 谈 到 ) 比 估算 代码 长 度 要 容易 ， 但 是 不 够 精确 。 

2. 因子 B 和 M 的 估算 往往 带 有 主观 色彩 ， 这 样 主观 估算 的 结果 往往 因 人 而 异 ， 取 决 于 
个 人 的 环境 背景 和 对 于 正在 开发 项 目 类 型 的 经 验 。 

准确 的 代码 规模 估算 在 项 目 早 期 是 很 难 的 ， 因 为 最 终 程序 规模 依赖 于 设计 决策 ， 而 需要 
估算 的 时 候 决 策 还 未 形成 。 举 例 来 说 ， 一 个 需要 高 性 能 复杂 数据 管理 的 应 用 ， 可 以 使 用 目 己 
实现 的 数据 管理 工具 ， 也 可 以 使 用 商业 数据 库 。 在 最 初 的 成 本 估计 时 ， 不 可 能 知道 是 否 存在 
表现 足够 好 、 能 够 满足 运行 需求 的 商业 数据 库 系统 。 所 以 不 知道 要 在 系统 中 加 入 多 少数 据 管 
理 代码 。 

系统 开发 所 使 用 的 程序 语言 也 会 产生 重要 影响 。 使 用 像 Java 这 样 的 语言 较 之 使 用 C 语 
言 ， 可 能 意味 着 需要 较 多 的 程序 代码 。 不 过 ， 这 些 额 外 的 代码 会 带 来 更 多 编译 时 检查 ， 所 以 
检验 成 本 就 会 降低 。 估 算 过 程 中 如 何 考 虑 这 些 因素 目前 尚 不 明了 。 此 外 ， 代 码 复 用 的 估算 方 
法 也 不 尽 相 同 ， 目 前 有 一 些 模型 可 以 明确 地 估算 复 用 的 代码 行 数 。 然 而 ， 如 果 拥 有 应 用 系统 
或 者 外 部 服务 的 复 用 ,那么 通常 很 难 计算 源 代 码 中 被 蔡 换 的 代码 行 数 。 

算法 成 本 模型 是 估算 开发 一 套 系统 所 需 工 作 量 的 系统 方法 。 然 而 ， 这 些 模型 很 复杂 而 且 
很 难 使 用 。 模 型 中 有 很 多 的 属性 ， 在 估算 它们 的 值 的 时 候 有 相当 大 的 不 确定 性 。 这 种 复杂 性 
意味 着 算法 成 本 建 模 的 实际 应 用 只 限于 一 小 部 分 大 型 公司 ， 这 些 公 司 大 多 涉及 国防 和 航空 航 
天 系统 工程 工作 。 

使 用 算法 模型 的 另 一 个 障碍 是 需要 校准 。 模 型 用 户 应 该 根据 他 们 自己 的 历史 项 目 数 据 校 
准 他 们 的 模型 和 参数 值 ， 因 为 这 反映 了 部 门 实际 和 经 验 。 但 是 几乎 没有 组 织 从 过 去 的 项 目 中 
收集 了 足够 的 数据 ， 这 种 数据 会 以 一 种 表格 的 形式 存在 以 支持 模型 校准 。 因 此 ， 算 法 模型 的 
实际 使 用 必须 以 模型 参数 的 发 布 值 开 始 。 实 际 上 建 模 者 不 可 能 知道 这 些 是 如 何 紧 密 地 关联 到 
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他 们 自己 的 组 织 的 。 

如 果 算 法 模型 用 于 项 目 成 本 计算 ， 估 算 者 应 该 做 一 系列 估算 〈 最 坏 值 、 期 望 值 和 最 好 
值 ) 而 不 是 单一 估算 ， 并 用 成 本 计算 公式 都 计算 一 遍 。 只 有 在 对 开发 的 软件 类 型 非常 了 解 ， 
所 使 用 的 模型 经 过 组 织 的 长 期 使 用 ， 其 参数 已 经 校正 得 较为 准确 ， 而 且 语 言 和 硬件 选择 都 预 
先 确定 了 的 情况 下 ， 成 本 估算 才 最 有 可 能 取得 精确 的 结果 。 










区、 了》 软件 生产 率 


软件 生产 率 是 对 软件 工程 师 在 每 周 或 每 个 月 完成 的 开发 工作 的 一 个 平均 数量 的 估计 。 
因而 它 表示 为 每 月 代码 行 数 、 每 月 功能 点 数 等 。 

然而 ， 在 具有 有 形 的 结果 (例如 ， 办 事 员 每 天 处 理 N 个 差旅费 报销 单 ) 的 地 方 ， 生 产 
率 是 容易 计算 出 来 的 ， 而 软件 生产 率 相 对 而 言 就 十 分 难于 定义 。 不 同 的 大 对 于 相同 的 功能 
会 用 不 同 的 方式 实现 ， 结 果 他 们 使 用 的 代码 行 数 就 会 不 同 。 代 码 的 质量 也 是 重要 的 ， 但 是 
在 某 种 程度 上 ， 是 主观 性 的 。 因 此 ， 比 较 不 同 软件 工程 师 间 的 生产 率 是 很 不 可 靠 的 。 生 产 
率 对 于 较 大 的 团队 而 言 才 是 有 意义 的 。 


http://software-engineering-book.com/web/productivity/ 









23.6 COCOMO 成 本 建 模 


目前 最 著名 的 算法 性 成 本 建 模 方法 和 工具 是 COCOMO 开 模 型 。COCOMO [模型 完全 
是 一 个 经 验 模型 。 获 得 该 模型 的 途径 是 这 样 的 : 首先 从 大 量 的 大 小 不 同 的 软件 项 目 中 收集 数 
据 ， 然 后 通过 对 这 些 数据 的 分 析 找 出 与 观察 资料 最 相符 合 的 公式 。 这 些 公式 将 系统 的 规模 、 
产品 、 项 目 和 团队 因素 等 与 开发 系统 的 工作 量 联系 起 来 。COCOMO [是 一 个 由 开源 工具 文 
持 的 免费 模型 。 

COCOMO II 是 从 更 早期 的 COCOMO ( Constructive Cost Modeling) 成 本 估算 模型 基础 
上 发 展 而 成 的 ， 早期 的 COCOMO 模型 基本 上 是 基于 原始 的 代码 开发 的 (B. W. Boehm 1981; 
B. Boehm and Royce 1989 )。COCOMO 开 模 型 考虑 了 现代 的 软件 开发 方法 ， 例 如 使 用 动态 
语言 的 快速 开发 、 基 于 复 用 的 开发 、 数 据 库 编程 等 。COCOMO I 包含 几 个 基于 这 些 技术 的 
子 模型 ， 这 些 子 模型 可 以 产生 越 来 越 详 细 的 估算 。 

作为 COCOMO 本 模型 一 部 分 的 子 模型 ( 见 图 23-10 ) 包括 以 下 这 些 : 

1. 应 用 组 合 模 型 。 它 对 所 需 的 工作 量 建 模 ， 所 开发 的 系统 是 由 可 复 用 构件 、 脚 本 或 数据 
库 编程 创建 而 得 。 软 件 规模 估算 基于 应 用 点 ， 还 可 根据 一 个 简单 的 规模 / 生产率 公式 来 估算 
所 需 的 工作 量 。 

2. 早期 设计 模型 。 这 个 模型 用 于 在 得 到 需求 之 后 的 早期 系统 设计 阶段 。 估算 是 基于 在 
本 章 开 头 部 分 谈 到 的 标准 估计 公式 ， 带 有 包含 7 个 因子 的 简化 的 参数 。 使 用 功能 点 进行 估 
算 ， 然 后 转化 为 源 代 码 的 行 数 。 

功能 点 是 一 种 独立 于 语言 的 量化 程序 功能 的 方式 。 通 过 衡量 或 者 估算 外 部 输入 和 输出 的 
数量 、 用 户 和 迭代 的 次 数 、 外 部 界面 的 数量 ， 以 及 系统 使 用 的 文件 或 数据 库 的 数量 ， 计 算出 程 
序 中 的 所 有 功能 点 数目 。 
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图 23-10 COCOMO 估算 模型 
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3. 复 用 模型 。 这 个 模型 用 于 计算 集成 可 复 用 构件 和 自动 生成 程序 代码 所 需 的 工作 量 。 它 
一 般 与 后 体系 结构 模型 结合 使 用 。 i 

4. 后 体系 结构 模型 。 当 设计 出 系统 体系 结构 后 ， 就 可 以 对 软件 规模 做 更 精确 的 估算 。 这 
个 模型 也 使 用 上 面谈 到 的 成 本 估算 的 标准 公式 ， 但 它 包 含 了 更 广泛 的 有 17 个 反映 个 人 能 力 
和 产品 与 项 目 特征 的 参数 集合 。 

当然 ， 在 大 型 系统 中 ， 不 同 部 分 可 能 使 用 不 同 的 技术 进行 开发 ， 不 必要 求 以 同等 的 精确 
度 估 算 系 统 的 所 有 部 分 。 在 这 种 情况 下 可 以 为 每 个 部 分 采用 适当 的 子 模型 ， 然 后 合并 这 些 结 
果 得 到 一 个 合成 的 估算 值 。 

COCOMO [是 一 个 非常 复杂 的 模型 ， 为 了 更 加 简便 地 描述 ， 本 文 简化 了 它 的 表示 。 你 可 以 
使 用 此 处 解释 的 模型 来 做 一 些 简单 的 成 本 估算 。 然 而 ， 如 果 想 要 真正 合理 地 使 用 COCOMO II, 
则 需要 参考 Boehm 的 书籍 以 及 COCOMO [的 指南 (B. W. Boehm et al. 2000; Abts et al. 2000 )。 


23.6.1 应 用 组 合 模 型 


将 应 用 组 合 模 型 引入 COCOMO 开 以 支持 对 项 目 所 需要 的 工作 量 进行 估算 。 此 模型 适合 
于 原型 构造 型 项 目 和 通过 已 有 的 构件 组 合 进行 软件 开发 的 项 目 。 它 的 计算 是 基于 加 权 的 应 用 
点 (有 时 也 称 为 对 象 点 ) 除 以 一 个 标准 应 用 点 生产 率 (B. W. Boehm et al. 2000 ) 。 一 个 程序 
中 的 应 用 点 数量 的 估算 由 下 面 4 个 更 加 简单 的 估算 导出 。 

o 显示 的 单独 的 屏幕 和 网 页 的 数量 ; 

e 显示 的 产生 报表 的 数量 ; 

e 命令 式 程序 设计 语言 (如 Java) 中 模块 的 数量 ; 

e 脚本 语言 或 者 数据 库 编程 的 代码 行 数 。 

然后 按照 开发 每 个 应 用 点 的 难度 对 估算 值 进行 调整 。 程 序 员 的 生产 率 取决 于 开发 者 的 经 
验 、 能 力 以 及 所 使 用 的 软件 工具 (ICASE) 的 水 平 。 图 23-11 是 COCOMO 模型 开发 者 给 出 
的 不 同 应 用 点 生产 率 水 平 。 


开发 者 的 经 验 和 能 力 非常 低 


软件 工具 的 成 熟 度 和 能 力 


图 23-11 应 用 点 生产 率 
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应 用 组 合 通常 依赖 于 复 用 已 存在 的 软件 以 及 配置 应 用 系统 ， 因 此 系统 中 的 一 些 应 用 点 由 
可 复 用 构件 来 实现 。 这 就 需要 考虑 预期 复 用 部 分 所 占 的 比例 来 调整 基于 应 用 点 总 数 的 估算 。 
因此 ， 对 于 原型 系统 开发 项 目的 工作 量 计算 的 最 后 公式 是 : 

PM =(NAP x ( 1 — %reuse/100 ) ) /PROD 

PM， 以 人 月 为 单位 的 工作 量 ; 

NAP， 交 付 系统 的 应 用 程序 点 的 总 数 ; 

%reuse， 在 开发 中 利用 的 代码 量 的 估计 ; 

PROD， 如 图 23-11 所 示 的 应 用 点 生产 率 。 


23.6.2 早期 设计 模型 


在 项 目的 初始 阶段 使 用 这 个 模型 ， 此 时 还 未 对 系统 体系 结构 做 出 详细 的 设计 。 早 期 设计 模型 
假定 用 户 需 求 已 经 确定 ， 系 统 设 计 过 程 的 初始 阶段 已 经 开始 。 这 一 阶段 的 任务 应 当 是 简单 快速 地 
做 一 个 大 略 的 成 本 估算 。 因 此 需要 做 出 各 种 简单 化 的 假设 ， 例 如 集成 可 复 用 代码 的 工作 量 为 零 。 

早期 设计 估算 对 于 选择 探索 是 最 为 有 用 的 ， 此 时 我 们 需要 比较 实现 用 户 需求 的 各 种 方 
式 。 在 这 一 阶段 做 出 的 估算 是 基于 算法 模型 的 标准 公式 得 出 的 ， 即 

Effort = A x Size? x M 

Boehm 基于 他 自己 的 大 型 数据 集 提出 对 于 这 一 阶段 的 估算 ， 系数 A 应 该 为 2.94， 系 
统 的 规模 用 KSLOC 表示 ， 即 源 程 序 以 千 行 代码 为 单位 的 数量 。 这 是 通过 估算 软件 中 功能 
点 数 ， 然 后 使 用 标准 表格 将 功能 点 转换 成 KSLOC 来 计算 的 ， 这 个 标准 表格 针对 不 同 语言 
(QSM 2014 )， 给 出 功能 点 和 软件 规模 的 对 应 值 。 

指数 B 反映 了 随 着 项 目 规模 的 扩大 所 需 工 作 量 的 增长 。 它 可 以 在 1.1 一 1.24 之 间 变 动 ， 
与 项 目的 创新 程度 、 开 发 的 灵活 性 、 采用 的 风险 处 理 过 程 、 开 发 团队 凝聚 力 ， 以 及 组 织 的 过 
程 成 熟 度 ( 见 第 26 章 ) 水 平等 密切 相关 。 在 关于 COCOMO 开 的 后 体系 结构 模型 中 会 描述 用 
这 些 参 数 计算 该 指数 的 方法 。 

由 此 得 到 下 列 工作 量 计算 公式 ; 

PM = 2.94 x Size ‘'!~'*4? x M 
M = PERS x PREX x RCPX x RUSE x PDIF x SCED x FSIL 

PERS， 个 人 能 力 ; 

PREX， 个 人 经 验 ; 

RCPX， 产 品 可 靠 性 和 复杂 性 ; 

RUSE， 所 要 求 的 复 用 ; 

PDIF ， 平 台 困 难 程度 ; 

SCED， 进 度 ; 

FSIL， 文 持 设 施 。 

乘 数 因子 M 基于 7 个 项 目 和 过 程 属性 ， 这 可 以 增加 或 减少 估算 值 。 本 书 的 网 页 上 有 对 
这 些 属性 的 解释 。 对 这 些 因 子 的 取 值 可 以 分 成 6 档 ,“ 非 常 低 ” 的 值 该 因子 赋值 1， 对 具有 
“非常 高 ”的 值 该 因子 赋值 为 6。 例如 PERS=6， 说 明 这 个 专家 员工 可 以 参与 到 项 目 中 。 


23.6.3 复 用 模型 
复 用 模型 用 于 估计 集成 可 复 用 代码 或 已 生成 代码 所 需 的 工作 量 。 如 在 第 15 章 所 述 ， 软 
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件 复 用 在 软件 开发 中 很 普遍 。 大 多 数 大 型 系统 都 有 很 大 一 部 分 代码 是 从 以 前 开发 的 系统 中 复 
用 而 来 的 。 | 

COCOMO 工 将 复 用 的 代码 分 为 两 类 。 黑 盒 代码 是 那 种 不 需 去 理解 或 做 出 改动 的 代码 。 
黑 盒 代码 的 例子 是 那些 由 UML 模型 或 者 应 用 库 (如 图 形 库 ) 里 自动 生成 的 构件 。 我 们 假设 
在 开发 过 程 中 ， 黑 盒 代 码 的 开发 工作 量 为 去 ， 并 且 它 的 规模 也 不 会 影响 到 总 体 工 作 量 中 。 

白 盒 代码 需要 将 新 代码 或 其 他 复 用 构件 的 代码 改编 整合 在 一 起 。 它 的 复 用 需要 一 些 开 
发 工作 ， 因 为 需要 理解 并 修改 代码 以 使 它 在 系统 中 正常 工作 。 白 盒 代 码 也 可 以 是 自动 生成 的 
代码 ， 但 是 其 代码 需要 人 工 修改 或 者 添加 。 另 外 ， 日 盒 代码 也 可 能 是 从 其 他 系统 中 复 用 过 来 
的 需要 在 新 开发 的 系统 中 进行 修改 的 构件 。 以 下 是 3 个 影响 复 用 白 盒 代码 构件 所 需 工 作 量 的 
HR: 

1. 评估 某 个 构件 是 否 可 以 在 开发 系统 中 复 用 所 需 的 工作 量 。 

2. 理解 复 用 代码 所 需 的 工作 量 。 

3. 修改 复 用 代码 并 集成 到 开发 系统 中 所 需 的 工作 量 。 

我 们 通过 COCOMO 的 早期 设计 模型 来 计算 复 用 模型 的 开发 工作 量 ， 这 样 的 计算 是 基于 
系统 的 总 代码 行 数 的 。 代 码 规模 包括 开发 不 能 复 用 的 构件 所 写 的 新 代码 的 工作 量 以 及 复 用 和 
集成 已 存在 代码 的 额外 工作 量 。 这 样 的 额外 工作 量 叫 作 ESLOC， 它 相当 于 新 的 源 代 码 的 行 
数 。 也 就 是 说 ， 复 用 工作 量 作为 开发 新 的 额外 源 代码 的 工作 量 。 

计算 这 种 等 价 关 系 的 公式 为 : 

ESLOC =(ASLOC x ( 1 — AT/100 ) x AAM) 

ESLOC， 新 源 代 码 的 等 价 行 数 ; | 

ASLOC， 必 须 修改 的 复 用 构件 的 代码 行 数 ; 

AT， 可 以 目 动 修改 的 复 用 代码 所 占 的 百分比 ; 

AAM， 改 瑟 调 整 因 子 ， 反 映 了 构件 复 用 时 所 需 的 额外 工作 量 。 

在 某 些 情况 下 ， 复 用 代码 需要 对 语法 进行 修改 ， 这 时 可 以 通过 自动 化 工具 来 实现 。 用 自 
动 化 工具 实现 并 不 需要 太 多 工作 量 ， 因 此 ， 需 要 估算 在 复 用 代码 中 有 多 少 修改 是 可 以 进行 自 
动 化 修改 的 (AT)。 这 就 减少 了 所 需 修改 的 代码 总 行 数 。 

改写 调整 因子 ( Adaptation Adjustment Multiplier, AAM) 调整 估算 以 反映 复 用 代码 需 
要 的 额外 的 工作 量 。COCOMO 模型 文档 ( Abts et al. 2000 ) 中 详细 阐述 了 AAM 的 计算 。 简 
单 来 说 ，AAM 是 以 下 3 个 部 分 之 和 : 

1. 评估 因子 (assessment factor，AA)， 表 示 决 策 构 件 是 否 能 够 进行 复 用 的 工作 量 。 根 据 
寻求 并 评估 潜在 候选 复 用 所 需 的 时 间 ，AA 的 值 为 0 ~ 8。 

2. 理解 部 分 (understanding component，SU)， 表 示 理 解 要 复 用 的 代码 以 及 工程 师 熟 悉 
这 些 代 码 所 需 的 工作 量 。SU 的 范围 为 50 ~ 10, 50 表示 复杂 的 非 结 构 化 代码 ，10 表示 书写 
良好 的 面向 对 象 的 代码 。 

3. 改写 部 分 ( AAF)， 表 示 修 改 这 些 复 用 代码 的 成 本 。 改 写 部 分 包 插 设计 、 编 码 和 集成 
变更 等 几 个 子 部 分 。 

一 旦 计算 出 ESLOC， 就 可 以 应 用 标准 估算 公式 计算 总 工作 量 ， 参 数 Size 等 于 ESLOC. 
因此 估算 复 用 工作 量 的 公式 为 : 

Effort =A x ESLOC® x M 
式 中 A、B 和 M 的 含义 与 早期 设计 模型 中 的 相同 。 
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| COCOMO 成 本 驱动 因素 


COCOMO 开 成 本 驱动 因素 是 反映 产品 、 团 队 、 过 程 以 及 组 织 因素 的 某 些 属性 ， 这 此 
属性 影响 软件 系统 开发 中 所 需 的 工作 量 。 例 如 ， 如 果 需 要 高 级 别 的 可 靠 性 ， 那 就 需 发 生 要 
投入 额外 的 工作 量 ; 如 果 有 快速 交付 的 需要 ， 那 同样 会 有 额外 的 工作 量 ; 如 果 团 队 成 员 发 
生变 化 ， 也 会 需要 额外 的 工作 量 。 

在 COCOMO [模型 中 有 17 个 这 样 的 属性 ， 此 模型 的 提出 者 给 这 些 属性 赋予 了 特定 
的 值 。 | 








http://software-engineering-book.com/web/cost-drivers/ 


23.6.4 后 体系 结构 模型 


后 体系 结构 模型 是 COCOMO 本 模型 中 最 详细 的 一 个 。 当 已 经 有 了 系统 的 初始 体系 结构 
设计 之 后 使 用 该 模型 。 在 后 体系 结构 模型 产生 的 估算 所 依据 的 基本 公式 与 早期 设计 模型 估算 
中 的 基本 公式 相同 

PM =A x Size? x M 

到 这 个 阶段 为 止 ， 因 为 知道 如 何 将 系统 分 解 为 各 个 子 系统 和 构件 ， 软 件 规模 的 估算 在 这 
个 阶段 中 要 准确 得 多 。 估 算 代码 规模 需要 下 面 3 个 参数 : 

1. 要 开发 的 新 代码 行 数 的 估算 (SLOC); 

2. 基于 复 用 模型 计算 得 到 的 等 价 代码 行 数 (ESLOC) 的 复 用 成 本 的 估算 ; 

3. 由 于 需求 变更 可 能 要 修改 的 代码 行 数 的 估算 。 

最 后 一 个 估算 值 一 一 要 修改 的 代码 行 数 一 一 反映 了 软件 需求 经 常会 变化 。 应 该 考虑 这 将 
引起 重复 工作 以 及 开发 额外 的 代码 。 当 然 这 个 数值 常常 比 要 开发 的 新 代码 的 估算 有 更 多 的 不 
确定 性 。 

在 工作 量 计算 公式 中 的 指数 项 与 项 目的 复杂 程度 有 关 。 当 项 目 较 复杂 时 ， 增 加 系统 规模 
所 花费 的 工作 量 明 显 增 大 。 通 过 分 析 如 图 23-12 所 示 的 5 个 因子 来 计算 指数 B 的 值 。 这 些 因 
子 都 有 从 0 ~ 5 六 个 等 级 ，0 表示 “特别 高 ”，5 表示 “非常 低 ”。 计 算 B 时 ， 将 这 些 估算 值 
相 加 再 除 以 100， 然 后 再 加 上 1.01 就 是 该 指数 项 的 取 值 了 。 


规模 因子 
行 my. ° ‘ :让 


体系 结构 /风险 | 反映 了 所 执行 的 风险 分 析 的 程度 。 非 常 低 意 味 着 几乎 没有 分 析 ; 非常 高 意味 着 
解决 方案 完全 彻底 的 风险 分 析 
2] 














开发 灵活 性 反映 了 开发 过 程 的 灵活 性 级 别 。 非 常 低 意味 着 使 用 一 个 预先 指定 的 过 程 ; 非常 


高 意味 着 客户 只 设 定 了 总 目标 
有 先例 可 循 


反映 了 组 织 在 此 类 型 项 目 上 先前 所 获得 的 经 验 。 非 常 低 意味 着 没有 先前 经 验 ; 
非常 高 意味 着 组 织 非常 熟悉 此 应 用 
团队 凝聚 力 
过 程 成 熟 度 














反映 了 开发 团队 成 员 彼此 了 解 和 一 起 和 谐 工作 的 程度 。 非 常 低 意 味 着 交互 存在 
很 大 困难 ; 非常 高 意味 着 一 个 团结 高 效 的 团队 ， 没 有 沟通 障碍 
反映 了 组 织 的 过 程 成 熟 度 (如 在 线 的 第 26 章 中 所 讨论 的 )。 该 值 的 计算 依赖 于 
CMM 成 熟 度 调 查 问 卷 ， 但 是 可 以 通过 从 5 中 减 去 CMM 过 程 成 熟 度 级 别 来 获得 
一 个 估计 


图 23-12 在 后 体系 结构 模型 指数 计算 中 所 用 的 规模 因子 
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例如 ， 假 定 一 个 组 织 正 承 担 一 个 项 目 ， 组 织 对 于 该 项 目 所 在 领域 没有 经 验 。 项 目 客户 没 
有 定义 需要 采用 的 过 程 ， 在 项 目 进度 中 也 没有 安排 重大 风险 分 析 ， 而 且 还 需要 组 织 一 个 新 的 
开发 团队 来 完成 这 个 系统 。 该 组 织 最 近 刚 实行 过 程 改 善 计划 ， 并 且 依 据 SEI 能 力 评估 模型 ， 
如 第 26 章 (FERRE) 中 讨论 的 , 已 经 被 评定 为 2 级 组 织 。 在 进行 指数 计算 时 用 于 评级 的 
可 能 取 值 如 下 。 

1. 有 先例 可 循 ， 取 值 为 “ 低 ”(4 )。 这 是 组 织 的 一 个 新 项 目 。 

2. 开发 的 灵活 性 ， 取 值 为 “非常 高 (1 )。 开 发 过 程 没 有 客户 介入 ， 所 以 几乎 不 存在 外 
部 强加 的 改变 。 

3. 体系 结构 /风险 解决 方案 ， 取 值 为 “非常 低 "(5 )。 没 有 风险 分 析 。 

4. 团队 凝聚 力 ， 取 值 为 “一 般 ”(3 )。 是 个 新 团队 ,没有 相关 信息 。 

5. 过 程 成 熟 度 ， 取 值 为 “一 般 ”"( 3 )。 有 一 些 过 程控 制 。 

这 些 值 的 总 和 为 16。 然 后 除 以 100 计算 指数 ,结果 0.16 加 上 1.01， 所 以 得 到 调整 后 的 
指数 是 1.17。 

总 的 工作 量 估算 使 用 一 套 广泛 的 包含 17 个 产品 、 过 程 、 组 织 属性 (见方 框 中 的 COCOMO 
成 本 驱动 因素 ) 而 不 是 早期 设计 模型 中 所 使 用 的 7 个 属性 进行 精 化 。 你 可 以 估算 这 些 属 性 的 
值 ， 因 为 你 有 了 更 多 的 关于 软件 和 目 身 、 它 的 非 功能 性 需求 、 开 发 团队 以 及 开发 过 程 的 信息 。 

图 23-13 给 出 一 个 例子 ,说 明 这 些 成 本 驱动 因素 属性 是 如 何 影响 工作 量 估 算 的 。 在 这 里 
对 指数 所 取 的 值 为 1.17， 与 上 一 个 例子 相同 。 假 设 指标 可 靠 性 (RELY)、 复 杂 度 ( CPLX )、 
存储 (STOR), TA (TOOL) 和 进度 (SCED) 是 项 目 中 的 关键 性 成 本 驱动 因素 。 所 有 其 他 
成 本 驱动 因素 取 标 称 值 1， 不 会 影响 工作 量 计算 。 

在 图 23-13 中 ， 对 关键 性 的 成 本 驱动 因素 分 别 赋予 了 最 大 和 最 小 值 来 说 明 它 们 对 工作 量 
估算 带 来 的 影响 。 所 取 的 值 来 自 COCOMO 本 的 参考 手册 (Abts et al. 2000 ) 。 从 图 中 可 以 看 
出 ， 对 成 本 驱动 因素 取 较 高 值 时 的 工作 量 估算 是 初始 估算 的 3 倍 多 ， 而 对 这 些 成 本 驱动 因素 
取 低 值 时 的 工作 量 估算 会 降低 到 初始 估算 的 大 约 1/3， 这 样 就 突出 表示 了 不 同类 型 项 目 之 间 
的 巨大 差异 ， 以 及 在 将 一 个 领域 的 经 验 移植 到 男 一 个 领域 时 的 巨大 困难 。 






















| 


调整 的 COCOMO 估计 


图 23-13 成 本 驱动 因素 对 工作 量 估算 的 影响 
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23.6.5 项 目的 工期 和 人 员 配 备 


项 目 管 理 者 除了 要 对 软件 系统 开发 所 需 成 本 及 其 工作 量 做 出 估算 以 外 ， 还 必须 估算 软件 
的 开发 周期 以 及 人 员 要 在 什么 时 间 到 位 。 组 织 不 断 地 想 缩 短 开发 进度 ， 和 看 望 自己 的 产品 能 赶 
在 竞争 对 手 之 前 投放 市 场 。 

COCOMO 模型 包括 一 个 对 项 目 所 需 日 历时 间 的 计算 公式 : 

TDEV = 3 x (PM he" (B ~ 1.01 )) 

TDEV, 项 目的 理论 进度 (月 )， 忽 略 关于 项 目 进度 的 任何 乘 数 ; 

PM， 使 用 COCOMO 模型 计算 的 工作 量 ; 

B， 在 23.5.2 节 讨 论 的 复杂 度 相 关 的 指数 。 

如 果 B= 1.17，PM = 60， 那么 

TDEV = 3x (60)°°*=13 (H) 

然而 ， 使 用 COCOMO 模型 预测 的 理论 工程 进度 和 软件 客户 要 求 的 进度 不 一 定 是 一 回 
事 。 可 能 需要 比 理论 进度 显示 的 日 期 提前 或 者 延迟 (比较 少见 ) 交付 软件 。 如 果 时 间 进 度 被 
压缩 (比如 软件 被 更 快 地 开发 了 )， 这 会 增加 项 目 需 要 的 工作 量 。 工 作 量 估算 中 的 SCED 乘 
数 能 解决 此 问题 。 

如 上 所 述 ， 假 定 项 目 估 计 TDEYV 是 13 个 月 , 但 是 实际 进度 要 求 是 10 个 月 。 这 相当 于 
将 进度 压缩 大 约 25%。 使 用 由 Boehm 小 组 得 到 的 SCED 乘 数 的 值 ， 这 种 进度 压缩 的 工作 量 
乘 数 是 1.43。 因 此 ， 如 果 加 速 后 的 进度 能 够 实现 ， 实 际 交 付 软 件 需要 的 工作 量 多 于 理论 进度 
要 求 的 工作 量 的 50%., 

项 目 所 需 的 工作 人 数 、 需 要 的 工作 量 以 及 项 目的 交付 进度 之 间 关 系 非 常 复 杂 。 如 果 4 人 
能 在 13 个 月 内 完成 一 个 项 目 (52 人 月 的 工作 量 )， 也 许 你 会 想到 增加 一 个 人 人， 那么 就 能 在 
11 个 月 内 完成 工作 (55 人 月 的 工作 量 )。 但 是 COCOMO 模型 显示 ， 实 际 上 需要 6 个 人 才能 
在 11 个 月 内 完成 工作 (66 人 月 工作 量 )。 

出 现 这 种 情况 的 原因 是 增加 人 员 实 际 上 降低 了 原 有 组 员 的 生产 率 。 当 项 目 组 规模 增加 的 
Af (he, 组 员 花 费 更 多 的 时 间 交 流 以 及 定义 由 别人 开发 的 系统 各 个 部 分 的 接口 。 人 员 数 量 翻 一 
E ( 打 个 比方 )， 项 目 工 期 并 不 是 简单 地 缩减 一 半 。 

因此 当 你 为 团队 添加 一 个 新 成 员 时 ， 实 际 市 来 的 工作 量 收 益 通 常 是 小 于 一 个 人 的 ， 因 为 
团队 里 的 其 他 成 员 会 变 得 低 效 。 如 果 开 发 团队 规模 很 大 ,由 于 总 体 工作 量 效率 的 影响 ， 有 些 
时 候 情况 是 增加 项 目 人 员 增 加 了 开发 日 程 而 不 是 减少 了 日 程 。 

单纯 用 项 目 所 需 工 作 量 除 以 开发 所 需 时 间 ， 对 项 目 团队 所 需 人 数 进 行 估算 并 没有 什么 帮 
助 。 一 般 来 讲 ， 在 项 目 刚 开始 的 时 候 只 需要 很 少 几 个 人 ， 他 们 负责 项 目的 初始 设计 。 在 项 目 
开发 和 系统 测试 的 时 候 ， 项目 成 员 数 达到 最 高 峰 。 当 系统 完成 准备 部 署 的 时 候 ， 人 员 数 目 开 
始 下 降 。 这 就 显示 了 项 目 人 员 的 组 织 和 项 目 时 间 的 减少 的 关联 关系 。 因 此 ， 项目 管理 者 在 项 
目 整 个 生存 期 中 都 要 避免 过 早 把 太 多 人 员 加 到 项 目 中 来 。 


要 点 


© 系统 报价 并 不 仅仅 取决 于 系统 开发 成 本 估算 和 开发 公司 要 求 的 利润 。 组织 因素 可 能 
提高 售 价 以 补偿 升 高 的 风险 ， 或 者 降低 售 价 以 获得 苑 争 的 优势 。 
e 软件 通常 是 先 有 定价 以 得 到 合同 ,然后 再 据 此 调整 相应 的 功能 。 
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e 计划 驱动 开发 是 围绕 一 个 详细 年 义 的 项 目 计 划 进 行 组 织 的 。 项 目 计划 定义 了 项 目 活 
动 、 计 划 的 工作 量 、 活 动 进 度 安排 和 每 项 活动 的 负责 人 。 

o 项 目 进度 安排 需要 创建 有 关 项 目 计划 的 各 种 图 形 化 表示 。 用 来 表示 活动 持续 时 间 和 
人 员 使 用 时 间 的 条 状 图 是 在 进度 安排 中 最 和 常 使 用 的 。 

e 项 目 里 程 碑 是 一 个 项 目 活动 可 以 预期 的 结果 ， 到 达 一 个 里 程 碑 就 要 把 某 些 项 目 进 展 
报告 提交 到 管理 层 。 在 一 个 软件 项 目 中 ， 里程碑 的 出 现 应 该 是 有 规律 的 。 可 交付 物 
则 是 交付 到 客户 手中 的 工作 产品 。 

o 敏捷 计划 游戏 是 让 整个 团队 成 员 都 参与 到 项 目 计划 中 来 。 计 划 做 成 增 量 式 的 ， 如 果 

问题 出 现 ， 计 划 将 被 调整 ， 通 过 减少 软件 的 功能 性 而 不 是 延期 交付 一 个 增 量 : 

© 软件 的 估算 技术 可 能 是 基于 经 验 的 ， 管 理 者 对 需要 的 工作 量 进行 判断 ; 或 者 是 使 用 

算法 ， 需 要 的 工作 量 通过 使 用 其 他 已 估算 工程 中 的 参数 计算 得 到 。 

e COCOMO 开 成 本 模型 是 一 个 比较 成 熟 的 成 本 估算 模型 ， 它 将 项 目 、 产 品 、 硬 件 以 及 

人 的 因素 都 考虑 在 内 。 

第 22 章 中 的 阅读 推荐 材料 也 与 本 章 相关 。 

(Ten unmyths of Project Estimation 》 是 一 篇 谈 项 目 估算 中 实际 困难 并 挑战 这 一 领域 一 些 
基本 假定 的 实用 文章 。(P. Armour, Comm. ACM, 45 (11 ), November 2002 ) http://dx.doi.org/ 
10.1145/581571.581582 

《 Agile Estimating and Planning 》 这 本 书 全 面 介 绍 如 在 XP 中 使 用 的 基于 故事 的 计划 ， 
同样 也 阐述 了 在 项 目 计 划 中 使 用 敏捷 方法 的 基本 原理 。 它 包括 一 个 很 好 的 关于 项 目 计 划 问 题 
的 概括 。(M. Cohn, 2005, Prentice-Hall) 

( Achievements and Challenges in COCOMO-based Software Resource Estimation ) 这 
篇 文章 展示 了 COCOMO 模型 的 发 展 过 程 及 其 产生 的 影响 ， 讨 论 了 多 种 变形 。 它 也 介绍 了 
COCOMO 方法 可 能 的 发 展 前 景 。(B. W. Boehm and R. Valeridi, IEEE Software, 25 (5), 
September/October 2008 ) http://dx.doi.org/10.1109/MS.2008, 133. 

《 All About Agile ; Agile Planning 》 这 个 关于 敏捷 方法 的 网 站 包括 一 组 很 好 的 敏捷 计 
划 的 文章 ， 这 些 文章 是 由 不 同 的 作者 撰写 的 。( 2007 一 2012 ) http://www.allaboutagile.com/ 
category/agile-planning/ 

《 Project Management Knowhow: Project Planning 》 这 个 网 站 有 一 些 关 于 通用 的 项 目 
管理 的 有 用 文章 。 这 些 文章 针对 的 是 此 前 在 这 个 领域 没有 经 验 的 人 。( P. Stoemmer，2009- 


2014 ) http://www.project-management-knowhow.com/project Planning.html 


网 站 

本 章 的 PPT: http://software-engineering-book.com/slides/chap23/ 

支持 视频 的 链接 : http://software-engineering-book.com/videos/software-management/ 
练习 


23.1 在 什么 情况 下 公司 可 能 会 将 软件 系统 的 价格 定 得 比 成 本 估算 加 上 正常 利润 高 得 多 呢 ? 
23.2 项 目 计 划 过 程 为 什么 是 一 个 迭代 的 过 程 ”为 什么 在 一 个 软件 项 目 期 间 必须 不 断 地 对 项 
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23.3 
23.4 


23.5 





23.6 


23:7 


23.8 


23.9 


BORD K HEE 


目 计划 进行 评审 ? 

简要 介绍 软件 项 目 计 划 中 每 个 部 分 的 目的 。 

无 论 使 用 什么 估算 方法 ,成 本 估算 有 其 固有 的 风险 。 试 给 出 4 个 能 降低 成 本 估算 风险 
的 方法 。 

图 23-14 列 出 了 许多 活动 、 持 续 时 间 和 各 活动 之 间 的 依赖 关系 。 请 画 出 活动 图 和 条 状 
图 来 示意 项 目 进度 安排 。 


持续 时 间 (天 ) 





依赖 关系 





图 23-14 进度 安排 例子 


图 23-14 给 出 了 软件 项 目 活动 的 任务 持续 时 间 。 假 设 发 生 了 一 个 严重 的 、 意 想不到 的 
事件 ， 使 得 任务 T5 不 是 在 10 天 内 完成 ， 而 是 用 了 40 天 。 画 出 新 的 条 状 图 以 表示 如 
何 重 新 进行 组 织 。 

计划 游戏 是 基于 计划 的 思想 去 实现 表示 系统 需求 的 故事 。 解 释 当 软件 有 高 性 能 和 高 可 
依赖 性 需求 时 这 个 方法 可 能 存在 的 问题 。 

有 一 个 软件 管理 者 负责 一 个 安全 性 关键 软件 系统 的 开发 ， 该 系统 的 设计 是 为 了 控制 针 
对 癌症 患者 的 放射 治疗 仪 。 这 个 系统 是 租 入 式 系 统 ， 运 行 在 一 种 专用 处 理 器 上 ， 内 存 
被 限定 在 256MB。 放 射 治疗 仪 与 患者 数据 库 通信 以 获取 患者 的 详细 资料 ， 并 在 治疗 
完毕 后 自动 地 将 放射 剂量 和 其 他 详细 治疗 信息 记录 到 数据 库 中 。 

在 对 系统 开发 的 工作 量 估算 中 使 用 了 COCOMO 方法 ， 计 算 结 果 是 需要 26 人 月 。 在 
估算 中 所 有 的 成 本 驱动 因素 都 被 设 为 1。 

解释 为 什么 需要 对 这 个 估算 进行 修正 ， 将 项 目 、 人 员 、 产 品 和 组 织 因 素 统统 考虑 在 
内 。 试 列举 出 在 初始 COCOMO 估算 中 会 产生 重要 影响 的 4 个 因素 ， 并 对 这 些 因素 给 
出 可 能 的 取 值 。 对 于 为 什么 考虑 到 这 些 因素 给 出 合理 的 解释 。 

一 些 非常 大 型 的 软件 项 目 都 有 数 以 百 万 行 的 程序 代码 行 。 解 释 为 什么 像 COCOMO 这 
样 估算 模型 的 工作 量 对 非常 大 型 的 软件 系统 可 能 无 效 。 
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23.10 公司 了 解 到 客户 需求 不 明确 ， 在 签订 合同 时 故意 提出 一 个 低 报价 ， 待 客户 将 来 提出 
需求 变更 时 再 索要 高 价 。 你 认为 这 样 做 道德 吗 ? 
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质量 管理 





目标 

本 章 旨 在 介绍 软件 质量 管理 ， 讲 述 专 门 的 质量 管理 活动 。 阅 读 完 本 章 后 ， 你 将 : 

o 了 解 质量 管理 过 程 以 及 质量 规划 的 重要 性 ; 

e 了 解 质 量 管理 过 程 中 质量 标准 的 重要 性 以 及 标准 是 如 何 用 于 质量 保证 的 ; 

o 了 解 评 审 和 审查 是 如 何 作为 机 制 在 软件 质量 保证 中 使 用 的 ; 

e 理解 敏捷 方法 中 的 质量 管理 是 如 何 基于 团队 质量 文化 的 发 展 而 进行 的 ; 

o 理解 度量 是 如 何在 评估 某 些 软件 质量 属性 时 发 挥 作用 的 ， 以 及 目前 软件 度量 的 局 限 性 。 

软件 质量 管理 与 确保 开发 的 软件 系统 符合 意图 息息相关 。 换 言 之 ， 软 件 系统 不 仅 应 
该 满足 用 户 的 需求 ， 还 应 该 高 效 、 可 靠 地 运行 ， 同 时 要 不 超出 预算 并 能 够 按时 交付 。 在 
过 去 的 20 年 里 ， 质 量 管理 技术 、 新 型 软件 技术 和 测试 方法 的 使 用 大 大 提高 了 软件 质量 的 
KF. 

对 于 那些 需要 用 几 年 时 间 开 发 大 规模 且 生 命 周 期 长 的 系统 的 团队 ， 正 式 的 质量 管理 
(Quality Management, QM) 显得 尤为 重要 。 这 些 系 统 的 用 户 是 外 部 客户 ， 通 常用 的 是 基于 
计划 的 开发 过 程 。 对 于 这 些 系 统 ， 质 量 管理 既是 组 织 层 面 的 重要 问题 ， 也 是 单个 项 目 层 面 的 
重要 问题 。 | 

1. 在 组 织 层面 ， 质 量 管理 与 建立 能 生产 高 质量 软件 的 组 织 过 程 框 架 和 标准 相关 。 这 就 意 
味 着 质量 管理 团队 应 该 负责 定义 要 使 用 的 软件 开发 过 程 、 软 件 应 当 符 合 的 标准 ， 包 括 系 统 需 
求 、 设 计 以 及 代码 的 相关 文档 。 

2. 在 项 目 层面 ， 质 量 管理 包括 : 专门 的 质量 过 程 的 应 用 ， 对 所 规划 的 过 程 执 行情 况 
的 检查 ， 以 及 确保 项 目的 输出 符合 项 目 所 适用 的 标准 。 项 目 层 面 的 质量 管理 同样 包括 为 项 
目 确 立 一 个 质量 计划 。 质 量 计 划 应 该 给 出 项 目的 质量 目标 ， 定 义 应 该 使 用 什么 样 的 过 程 和 
标准 。 

软件 质量 管理 技术 源 于 制造 业 中 的 方法 和 技术 ， 制 造 业 中 广泛 使 用 质量 保证 和 质量 控制 
这 两 个 术语 。 质 量 保证 (Quality Assurance, QA) 是 对 生产 高 质量 的 产品 的 过 程 和 标准 的 定 
义 ， 同 时 也 把 质量 过 程 引 入 制造 过 程 。 质 量 控制 是 应 用 这 些 质量 过 程 淘汰 没有 达到 质量 要 求 
的 产品 。 质 量 保证 和 质量 控制 都 是 质量 管理 的 一 部 分 。 

在 软件 产业 中 ， 一 些 公司 认为 质量 保证 仅 是 对 由 在 保证 软件 质量 达标 的 规程 、 过 程 和 标 
准 的 定义 。 而 在 男 一 些 公司 中 ， 质量 保 证 也 包括 开发 团队 交付 产品 后 采取 的 活动 ， 包 括 所 有 
的 配置 管理 、 验 证 和 确认 活动 。 

质量 管理 对 软件 开发 过 程 提 供 独 立 的 检查 。 质 量 管理 团队 检验 项 目 可 交付 成 果 ， 从 而 确 
保 它 们 能 够 符合 组 织 的 标准 和 目标 ( 见 图 24-1 )。 质 量 管理 团队 还 会 检验 软件 过 程 文 档 ， 这 
些 文档 记录 了 项 目 中 每 个 团队 已 经 完成 的 任务 。 质 量 管理 团队 使 用 文档 来 检验 重要 的 任务 是 
否 被 遗漏 或 者 一 个 小 组 是 否 错误 地 假设 其 他 小 组 已 经 完成 了 某 个 任务 。 
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软件 开发 过 程 DI D2 D3 D4 D5 


质量 管理 过 程 





标准 和 规程 ” 质量 规划 ”质量 评审 报告 
图 24-1 质量 管理 和 软件 开发 


大 型 公司 中 的 质量 管理 团队 通常 负责 管理 测试 过 程 的 发 布 。 正 如 第 8 章 中 所 讨论 的 ， 这 
就 意味 着 在 软件 版 本 交付 到 客户 手 里 之 前 ， 他 们 管理 软件 的 测试 。 他 们 负责 检查 系统 是 否 满 
足 需求 以 及 维护 测试 过 程 记 录 。 

质量 管理 团队 应 该 是 独立 于 开发 小 组 的 团队 ， 这 样 他 们 能 够 客观 地 对 竺 软件 产品 的 质 
量 ， 能 够 不 受 软件 开发 问题 的 影响 ， 做 出 客观 的 软件 质量 报告 。- 理 想 情 况 下 ， 质 量 管理 团队 
在 质量 管理 上 负 有 组 织 范 围 内 的 责任 ， 他 们 应 该 向 高 级 管理 层 汇报 。 

因为 项 目 管理 人 员 必 须 维 护 工程 预算 开支 和 进度 安排 ， 所 以 他 们 可 能 在 产品 质量 上 做 出 
妥协 来 满足 工程 进度 。 一 个 独立 的 质量 管理 团队 确保 组 织 的 质量 目标 不 会 因为 短期 的 预算 和 
进度 而 受到 影响 。 但 是 ， 在 小 一 点 的 公司 里 ， 这 是 不 太 实际 的 。 质 量 管理 和 软件 开发 不 可 避 
免 地 绑 定 在 一 起 ， 相 关 的 人 员 同 时 有 着 开发 和 质量 两 方面 的 职责 。 

正式 的 质量 规划 是 基于 计划 的 开发 过 程 的 组 成 部 分 。 质 量规 划 是 为 项 目 制定 一 个 质量 计划 
的 过 程 。 质 量 计划 应 当 列 出 要 达到 的 软件 质量 ， 并 且 描 述 怎样 评估 这 些 质 量 。 对 于 一 个 特定 系 
统 ， 质 量 计划 定义 了 何 为 高 质量 的 软件 。 因 此 ， 工 程 师 在 最 重要 的 软件 质量 属性 上 达成 共识 。 

Humphrey ( Humphrey 1989 ) 在 他 的 关于 软件 管理 的 经 典 书 籍 中 提出 了 一 个 质量 规划 的 
概要 结构 。 其 中 包括 : 

1. 产品 介绍 ， 说 明 产 品 、 产 品 的 目标 市 场 及 对 产品 质量 的 预期 。 

2. 产品 计划 ， 包 括 产品 的 严格 发 布 日 期 、 产 品 责任 以 及 产品 的 销售 和 售后 服务 计划 。 

3. 过 程 描述 ， 产 品 的 开发 和 管理 中 应 该 采用 的 开发 、 服 务 过 程 和 标准 。 

4. 质量 目标 ;~ 产品 的 质量 目标 和 计划 ， 包 括 识别 和 判定 产品 的 关键 质量 属性 。 

5. 风险 和 风险 管理 ， 说 明 影响 产品 质量 的 主要 风险 和 这 些 风 险 的 应 对 措施 。 

质量 规划 ， 作 为 一 般 项 目 规划 过 程 的 一 部 分 ， 依 据 所 开发 的 系统 的 大 小 和 类 型 而 有 所 不 
同 。 但是， 在 书写 质量 规划 时 ， 我 们 应 该 保证 它们 尽 可 能 简短 。 如 果 文 档 过 长 ， 人 们 就 不 会 
去 阅读 ， 这 样 就 会 叶 致 设 定 质量 规划 的 初 囊 失败 。 | 

传统 的 质量 管理 是 一 个 正式 的 过 程 ， 该 过 程 包括 维护 大 量 有 关 测 试 和 系统 验证 的 文档 以 
及 如 何 遵循 流程 。 在 这 方面 ， 传 统 的 质量 管理 与 敏捷 开发 完全 相反 。 敏 捷 开 发 的 目的 是 在 编 
写 文 档 和 正式 确定 如 何 进 行 开 发 工作 上 尽 可 能 花费 最 少 的 时 间 。 因 此 ， 当 使 用 敏捷 方法 时 ， 
质量 管理 技术 也 需要 随 之 演化 。24.4 节 将 讨论 质量 管理 与 敏捷 开发 。 


24.1 软件 质量 


质量 管理 的 基本 原则 是 制造 工业 为 了 改善 制造 产品 的 质量 而 建立 的 。 作 为 质量 管理 的 一 
部 分 ， 工 业界 首先 定义 了 什么 是 “质量 "， 所 谓 质量 是 符合 详细 产品 规格 说 明 的 。 基 本 假设 
是 ， 能 够 完整 详细 地 定义 产品 ， 并 且 能 够 确立 一 个 依照 产品 规格 说 明 检 查 制造 产品 的 规程 。 
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当然 ， 产 品 不 会 完全 精确 地 满足 规格 说 明 ， 所 以 一 定 的 误差 是 可 以 容忍 的 。 如 果 产 品 是 “ 基 
本 合适 的 "， 那 么 它 就 被 认为 是 可 接受 的 。 | 

软件 质量 不 能 直接 和 制造 业 中 的 质量 相 比 较 。 误 差 容忍 思想 对 于 模拟 系统 是 适用 的 ,但 
是 对 于 软件 系统 来 说 是 不 适用 的 。 由 于 以 下 原因 ， 我 们 经 常 无 法 针对 一 个 软件 系统 是 否 满足 
其 规格 说 明 得 出 客观 结论 : 

1. 写 出 一 个 完整 的 和 无 歧义 的 软件 需求 是 相当 困难 的 。 软 件 开发 人 员 和 客户 可 能 对 于 需 
求 有 不 同 的 解读 ， 并 且 可 能 对 软件 是 否 符合 规格 说 明 没 法 达成 共识 。 

2. 规格 说 明 通常 整合 了 各 类 利益 相关 者 的 需求 。 这 些 需 求 不 可 避免 地 存在 着 取舍 ， 很 可 
能 没有 包含 所 有 利益 相关 者 的 需求 。 排 除 在 外 的 利益 相关 者 可 能 认为 系统 质量 糟糕 ， 即 使 它 
实现 了 那些 达成 共识 的 需求 。 

3. 对 某 些 质量 特性 (如 可 维护 性 ) 的 直接 度量 是 不 可 能 做 到 的 ， 所 以 它们 无 法 以 一 种 无 
歧义 的 方式 刻画 。24.4 节 讨论 了 度量 的 困难 性 。 

因为 以 上 这 些 原因 ,评估 软件 质量 仍然 是 一 个 主观 的 过 程 ， 质 量 管理 团队 必须 判断 软件 
是 否 达 到 可 接受 的 质量 水 平 。 质 量 管理 团队 必须 考虑 软件 是 否 达 到 既定 的 目标 。 这 涉及 回答 
关于 系统 特性 的 若干 问题 。 例 如 : 

1. 软件 是 否 得 到 了 充分 的 测试 ， 并 且 显 示 软 件 已 经 实现 了 所 有 需求 ? 

2. 软件 是 否 足够 可 靠 能 投入 使 用 ? 

3. 软件 性 能 是 否 对 于 正常 使 用 是 可 接受 的 ? 

4. 软件 是 否 可 用 ? 

5. 软件 是 否 结构 良好 并 且 易 于 理解 ? 

6. 开发 过 程 是 否 遵循 编程 和 文档 化 标准 ? 

软件 质量 管理 存在 一 个 通用 的 假设 : 按照 需求 测试 系统 。 应 该 根据 这 些 测试 的 结果 判断 
是 否 实现 了 要 求 的 功能 。 因 此 ， 质 量 管理 (QM) 团队 应 该 评审 所 设计 的 测试 并 检查 测试 记 
录 ， 以 核实 测试 是 否 被 正确 地 执行 。 在 一 些 公司 中 ， 软 件 管理 团队 负责 最 终 的 系统 测试 。 但 
是 有 时 是 一 个 独立 的 系统 测试 小 组 负责 向 系统 质量 管理 者 汇报 。 

一 个 软件 系统 的 主观 质量 很 大 部 分 依赖 于 它 的 非 功能 性 特性 。 这 反映 了 实际 的 用 户 体 
验 一 一 如 果 软 件 的 功能 不 是 所 期 望 的 那样 ， 那 么 用 户 就 会 变通 ， 寻 找 其 他 方式 来 做 他 们 想 做 
的 事情 。 但 是 如 果 软 件 不 可 靠 或 者 是 速度 太 慢 ， 那 么 实际 上 就 不 能 达到 他 们 的 目的 。 

因此 ， 软 件 质量 不 仅仅 取决 于 软件 功能 是 否 正 确 地 实现 ， 也 取决 于 非 功 能 的 系统 属性 ， 
如 图 24-2 所 示 。 这 些 属 性 和 软件 可 依赖 性 、 可 用 性 、 效 率 以 及 可 维护 性 相关 。 


可 移植 性 
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图 24-2 软件 质量 属性 

对 于 任何 系统 ， 优 化 所 有 属性 都 是 不 太 可 能 的 ， 例 如 ， 提 升 信息 安全 性 可 能 导致 性 能 的 


降低 。 因 此 质量 规划 应 该 定义 被 开发 软件 最 重要 的 质量 属性 。 可 能 效率 很 关键 ， 需 要 牺牲 其 
他 属性 来 保证 效率 。 如 果 已 经 在 质量 规划 中 强调 了 效率 的 重要 性 ， 从 事 开发 工作 的 工程 师 会 
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协力 来 达到 这 一 目标 。 质 量规 划 还 应 该 定义 质量 评估 过 程 。 该 过 程 应 当 提 供 一 种 各 方 都 认同 
的 方式 来 确定 一 些 质 量 属性 (如 可 维护 性 和 和 鲁 棒 性 ) 是 否 在 产品 中 得 到 了 实现 。 

传统 软件 质量 管理 的 一 个 基本 假定 是 ， 软 件 开发 过 程 的 质量 直接 影响 软件 的 质量 。 这 个 
假定 源 于 生产 制造 系统 中 产品 质量 与 生产 过 程 的 密切 关系 。 制 造 过程 包 括 配置 、 安 装 和 操作 
相应 的 机 器 。 一 旦 机 需 操 作 正 常 ， 产 品质 量 自然 就 有 保证 。 你 可 以 评估 产品 质量 并 改变 生产 
过 程 ， 直 到 达到 需要 的 质量 水 平 。 图 24-3 描述 了 这 个 基于 过 程 实现 产品 质量 的 方法 。 






评估 产品 质量 


质量 是 
是 否 达 标 ? 


图 24-3 基于 过 程 的 质量 


在 制造 业 中 过 程 与 产品 质量 有 着 明 确 的 关联 ， 因 为 过 程 相 对 易于 标准 化 和 监控 。 一 旦 制 
造 系 统 校准 后 就 能 一 次 次 地 生产 出 高 质量 的 产品 。 软 件 不 是 生产 制造 出 来 的 ， 而 是 设计 出 来 
的 。 因 此 ， 软 件 开发 过 程 中 过 程 质 量 和 产品 质量 之 间 的 关系 更 加 复杂 。 软 件 开发 是 创造 性 活 
动 ， 个 人 的 技能 和 经 验 的 影响 非常 大 。 无 论 所 使 用 的 过 程 怎样 ,一 些 外 部 因素 (如 应 用 程序 
的 创新 性 或 早期 产品 发 布 的 商业 压力 ) 也 会 影响 产品 质量 。 

毫 无 疑问 ， 使 用 的 开发 过 程 对 于 软件 质量 有 明显 的 影响 。 好 的 过 程 更 有 可 能 得 到 高 质量 
的 软件 。 过 程 质量 的 管理 和 改进 能 够 减少 软件 开发 过 程 中 产生 的 缺陷 。 但 是 ， 评 估 软 件 质量 
的 属性 非常 困难 ， 比 如 ， 不 经 过 长 时 间 使 用 软件 ， 很 难 评 佑 可 维护 性 。 因 此 ， 很 难 指 出 过 程 
特性 如 何 影响 这 些 属性 。 此 外 ， 因 为 设计 和 创造 性 在 软件 过 程 中 所 起 的 作用 ， 过 程 标准 化 有 
时 会 扼杀 创造 力 ， 这 会 导致 软件 质量 更 精 而 不 是 更 好 。 

定义 过 程 固然 是 很 重要 的 ， 但 是 质量 管理 者 也 应 该 致力 于 推行 一 种 “质量 文化 ， 让 每 
个 参与 产品 开发 的 人 都 有 强烈 的 产品 质量 意识 。 质 量 管理 者 应 该 鼓励 团队 成 员 对 上 自己 的 工作 
质量 负责 ， 敦 励 他 们 探求 改善 质量 的 新 方法 。 质 量 标 准 和 规程 是 质量 管理 的 基础 ， 同 时 好 的 
质量 管理 者 也 认识 到 有 些 软 件 质 量 特 性 是 无 形 的 (如 简洁 性 、 可 读 性 等 )， 难 以 在 标准 中 具 
体 体现 出 来 。 他 们 应 该 支持 那些 关注 无 形 质 量 的 人 ,并 鼓励 所 有 的 团队 成 员 拿 出 好 的 工作 
作风 。 


24.2 软件 标准 


软件 标准 在 基于 计划 的 软件 质量 管理 中 扮演 着 重要 的 角色 。 正 如 前 文 所 述 ， 质 量 保证 的 
一 个 重要 部 分 是 定义 和 选择 应 用 于 软件 开发 过 程 和 软件 产品 的 标准 。 作 为 质量 保证 过 程 的 一 
部 分 ， 也 要 选择 支持 标准 使 用 的 工具 和 方法 。 一 旦 选 定 使 用 的 标准 ， 必 须 定义 项 目 特定 的 过 
程 以 监控 标准 的 使 用 和 执行 情况 。 

软件 标准 非常 重要 ， 有 以 下 3 个 原因 。 

1. 标准 是 智慧 的 结晶 ， 对 一 个 组 织 有 重要 意义 。 软 件 标准 封装 了 对 于 组 织 来 说 最 成 功 的 
或 是 最 适合 的 软件 开发 实践 。 这 些 知识 往往 是 经 过 反复 实验 和 无 数 的 挫折 后 才 得 出 的 。 把 这 





标准 化 过 程 
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些 知识 制定 到 标准 中 去 可 以 帮助 企业 复 用 以 往 的 经 验 并 避免 重 犯 过 去 的 错误 。 

2. 标准 为 定义 特定 环境 中 的 “质量 ”提供 了 一 个 框架 。 如 前 文 所 述 ， 软 件 质量 是 主观 
的 ， 标 准 的 使 用 为 判断 软件 是 否 达到 要 求 的 质量 水 平 提 供 了 基础 。 当 然 ， 这 取决 于 所 设 定 的 
标准 是 否 反映 了 用 户 对 软件 可 依赖 性 、 可 用 性 以 及 性 能 的 期 望 。 

3. 软件 标准 还 有 助 于 工作 的 延续 性 ， 由 一 个 人 着 手 进 行 的 工作 别人 可 以 接着 做 。 软 件 标 
准确 保 一 个 组 织 中 所 有 的 工程 人 员 采 用 相同 的 做 法 。 这 样 一 来 ， 开 始 一 项 新 工作 时 就 万 省 了 
学 习 时 间 。 









< 文档 化 标准 
项 目 文档 是 一 种 看 得 见 摸 得 着 的 描述 软件 系统 及 其 生产 过 程 的 各 种 和 不同 表示 的 方式 
(需求 、UML 、 人 代码 等 )。 文 档 化 标准 定义 不 同类 型 文档 的 组 成 以 及 文档 的 格式 。 这 是 很 
重要 的 ， 因 为 这 样 可 以 很 容易 发 现 是 否 有 重要 的 内 容 被 遗漏 ， 并 确保 项 目 文档 有 一 个 普遍 
接受 的 外 观 。 标 准 会 针对 书写 文档 的 过 程 、 文 档 本 身 的 内 容 以 及 文档 交换 诸多 方面 分 别 制 
Ro 
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在 软件 质量 管理 中 ， 有 两 类 可 用 于 定义 和 使 用 的 相关 软件 工程 标准 。 

1. 产品 标准 。 这 些 标准 用 于 开发 的 软件 产品 。 包 括 文档 标准 ， 如 生成 的 需求 文档 的 结 
构 ; 文档 编写 标准 ， 如 定义 对 象 类 时 注释 标题 的 标准 写法 ; 还 有 编码 标准 ,规定 如 何 使 用 茶 
种 编程 语言 。 

2. 过 程 标准 。 这 些 标准 定义 了 软件 开发 必须 遵循 的 过 程 。 应 将 良好 的 开发 实践 封闭 其 
中 。 过 程 标准 包括 对 规格 说 明 的 定义 、 设 计 、 确 认 过 程 、 过 程 支持 工具 以 及 对 在 这 些 过 程 中 
产生 的 文档 的 描述 。 

图 24-4 展示 了 几 个 可 能 被 使 用 的 产品 标准 和 过 程 标 准 的 例子 。 


产品 标准 过 程 标准 
设计 评审 表 设计 评审 方式 
需求 文档 结构 为 系统 构建 提交 新 代码 
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图 24-4 ”产品 标准 和 过 程 标准 


标准 必须 以 提升 产品 质量 的 形式 表现 价值 。 有 的 标准 需要 花费 大 量 时 间 和 劳动 ， 但 是 只 
是 带 来 了 细微 的 质量 改进 ， 这 种 标准 是 没有 必要 定义 的 。 必 须 设 计 可 以 应 用 的 产品 标准 ， 并 
以 成 本 - 效益 的 方式 检查 标准 ; 过 程 标 准 应 该 包含 用 于 检查 是 否 遵循 产品 标准 的 过 程 定 义 。 
公司 内 使 用 的 软件 工程 标准 通常 源 自 更 宽泛 的 国家 标准 或 国际 标准 。 已 经 制定 的 国家 标 
准 和 国际 标准 涵盖 了 软件 工程 术语 、 编 程 语言 (如 Java 和 C++)、 符 号 系统 (如 制图 符号 )、 
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软件 需求 的 获取 分 析 和 书写 规程 、 质 量 保证 规程 以 及 软件 验证 和 确认 过 程 (IEEE 2003 ) 等 
许多 方面 。 对 于 安全 关键 和 信息 安全 关键 的 系统 ， 制 定 了 更 多 的 专用 标准 。 

软件 工程 人 员 有 时 会 把 软件 标准 视 为 一 种 行政 命令 ,认为 它们 与 软件 开发 的 技术 活动 毫 不 相 
干 ， 尤 其 是 在 标准 中 要 求 填写 烦琐 的 文档 和 工作 记录 的 时 候 。 尽 管 他 们 大 都 承认 贯彻 实施 通用 标准 
是 十 分 必要 的 ， 但 工程 师 总 能 找 出 一 些 理由 ， 力 图 说 明 某 些 标准 并 不 适合 他 们 的 具体 项 目 。 因 此 ， 
为 了 让 工程 师 认 可 标准 的 价值 ， 设 定 这 些 标准 的 质量 管理 人 员 可 以 考虑 采取 以 下 这 些 措施 。 

1. 让 软件 工程 师 参 与 产品 标准 的 选择 。 如 果 开 发 者 了 解 了 选择 标准 的 原因 ， 就 会 自觉 执 
行 这 些 标准 。 最 理想 的 情况 ， 标 准 文档 不 应 只 是 列 出 需要 执行 的 标准 ， 还 应 该 包括 评论 性 的 
解释 ， 说 明 为 什么 得 出 这 样 的 标准 化 的 决议 。 

2. 定期 评审 和 修改 标准 以 反映 技术 的 变化 。 制 定 标准 代价 不 菲 ， 标 准 一 经 制定 出 来 就 要 
载 和 公司 的 标准 手册 。 由 于 成 本 和 所 需要 的 讨论 ， 通 常 不 会 轻易 对 标准 进行 改动 。 标 准 手册 
是 必 备 的 ， 但 是 它 要 随 着 环境 和 技术 的 变化 而 不 断 完善 。 

3. 尽 可 能 提供 工具 来 支持 基于 标准 的 开发 。 遵 循 标准 常常 涉及 一 些 乏 味 的 通常 可 由 软件 
工具 完成 的 手工 工作 ， 因 此 ， 开 发 人 员 经 常 觉得 标准 是 天 麻烦 。 如 果 有 工具 支持 ， 遵 循 软件 
开发 标准 就 只 需要 额外 付出 很 少 的 精力 。 例 如 程序 框图 可 以 通过 一 个 语法 制导 的 程序 编辑 系 
统 来 定义 和 实现 。 

不 同类 型 软件 需要 不 同 的 开发 过 程 ， 所 以 必须 采用 适当 标准 。 如 果 某 种 工作 方式 不 适合 
一 个 项 目 或 项 目 团 队 ， 对 它 做 出 规定 是 没有 意义 的 。 因 此 每 个 项 目 管理 者 都 应 该 有 根据 个 别 
情况 改动 标准 的 权力 。 然 而 ， 当 做 出 变更 时 ， 保 证 这 些 变更 不 会 影响 产品 质量 是 很 重要 的 。 

项 目 管理 者 和 质量 管理 者 可 以 通过 切实 可 行 的 质量 规划 避免 标准 的 不 适当 问题 。 他 们 应 
该 确定 质量 手册 中 哪些 标准 应 该 不 折 不 扣 地 执行 ， 哪 些 标准 应 该 修改 ， 哪 些 标准 应 该 废止 。 
对 于 某 些 用 户 和 特定 的 项 目 需求 ， 可 以 制定 相应 的 新 标准 。 例 如 ， 如 果 以 前 的 项 目 中 没有 用 
到 形式 化 规格 说 明 的 标准 ， 就 需要 制定 这 些 标 准 。 


24.2.1 1SO 9001 标准 框架 


ISO 9000 是 一 个 用 于 在 所 有 行业 建立 质量 管理 系统 的 国际 标准 集 。ISO 9000 可 应 用 的 范 
围 很 广 ， 从 制造 业 到 服务 业 都 有 涉及 。ISO 9001 在 这 些 标准 中 是 最 具 普 遍 性 的 ， 它 适用 于 设 
计 、 开 发 和 产品 (包括 软件 ) 维护 等 组 织 内 的 质量 过 程 。ISO 9001 标准 最 初 开发 于 1987 年 。 
下 文 讨论 的 是 2008 年 发 布 的 ISO 9001 标准 ， 但 是 2015 年 发 布 的 标准 新 版 本 可 能 会 有 所 不 同 。 

ISO 9001 标准 目 身 并 不 是 一 个 软件 开发 的 标准 ， 而 是 开发 软件 标准 的 一 个 框架 。 它 制 
定 出 一 般 的 质量 原则 ， 摘 述 一 般 的 质量 过 程 ， 并 且 编 排 应 该 定义 的 组 织 标准 和 规程 。 这 些 应 
当 记 录 在 组 织 质量 手册 中 。 

ISO 9001 标准 在 2000 年 进行 了 一 次 重大 修订 , 形成 了 9 个 核心 过 程 ， 如 图 24-5 所 示 。 
如 果 一 个 组 织 要 遵循 ISO 9001 标准 ， 那么 必须 记录 其 过 程 是 如 何 与 这 9 个 核心 过 程 相 对 应 
的 。 也 必须 定义 和 维护 有 关 记 录 以 证 明 所 定义 的 组 织 过 程 已 经 得 到 了 严格 执行 。 公 司 的 质量 
手册 应 该 描述 相关 的 过 程 以 及 过 程 数据 ， 这 些 数 据 必须 收集 并 得 到 维护 。 

ISO 9001 标准 并 没有 定义 或 规定 公司 应 该 使 用 的 特定 质量 过 程 。 要 与 该 标准 一 致 ， 公 
司 必须 定义 过 程 的 类 型 ， 如 图 24-5 所 示 ， 并 有 相应 的 流程 证 明 质 量 过 程 是 得 到 严格 遵守 的 。 
这 就 带 来 了 不 同 产业 部 门 和 公司 规模 之 间 的 灵活 性 。 

针对 正在 开发 的 软件 类 型 ， 可 以 定义 适合 的 质量 标准 。 小 型 公司 能 够 拥有 灵活 的 (不 需要 
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太 多 文档 ) 但 同时 仍然 服从 TSO 9001 PREKA LAE. MEE, AAR EERE RINTA REX 
遵循 ISO 9001 标准 的 不 同 公司 过 程 之 间 的 相似 性 和 差异 性 做 出 假定 。 一 些 公司 可 能 拥有 很 严 
格 的 质量 过 程 来 保留 详细 的 记录 ， 而 另 一 些 公司 可 能 不 那么 正式 ， 只 有 极 少量 的 附加 文档 。 






| 产品 交付 过 程 目 
生产 和 交付 


服务 和 支持 









图 24-5 ISO 9001 核心 过 程 


ISO 9001、 组 织 的 质量 手册 和 单个 项 目 质量 计划 之 间 的 关系 如 图 24-6 所 示 。 这 张 图 源 于 
Ince(Ince 1994 ) 提出 的 一 个 模型 ， 他 解释 了 通用 的 ISO 9001 标准 如 何 作为 一 个 软件 质量 管理 
过 程 的 基础 来 使 用 。Bamford 和 Deilbler ( Bamford and Deibler 2003 ) 解释 了 后 来 的 ISO 9001:2000 
标准 如 何在 软件 公司 中 被 采用 。 


IsO9001 | 
质量 模型 


实例 化 为 


组 织 质 量 手册 
| | 项 目 2 质 量规 划 | 





组 织 质量 过 程 


实例 化 为 


| 【 项 目 质量 管理 


















项 目 3 质 量规 划 


项 目 1 质量 规划 


支持 
图 24-6 ISO 9001 和 质量 管理 


一 些 软 件 客户 要 求 他 们 的 供应 商 获得 ISO 9001 认证 。 软 件 开发 公司 拥有 经 过 认证 的 质 
量 管理 系统 ， 客 户 才 会 有 信心 。 拥 有 独立 鉴定 资格 的 机 构 对 质量 管理 过 程 和 过 程 文档 进行 检 
查 ， 判 断 这 些 过 程 是 否 符合 ISO 9001 标准 的 所 有 内 容 。 如 果 的 确 如 此 ， 就 像 质量 手册 里 定 
义 的 一 样 ， 他 们 认证 这 家 公司 的 质量 过 程 符合 ISO 9001 标准 。 

有 些 人 认为 ISO 9001 证 书 意 味 着 经 过 认证 的 公司 所 生产 的 软件 质量 比 未 经 认证 的 公司 
生产 的 要 好 ， 这 是 一 种 误解 。ISO 9001 标准 只 是 关心 组 织 里 拥有 质量 管理 规程 ， 并 且 尊 循 
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这 些 规 程 ， 并 没有 保证 通过 ISO 9001 认证 的 公司 使 用 最 好 的 软件 开发 实践 ， 或 是 这 些 过 程 
会 产生 高 质量 的 软件 。 

ISO 9001 认证 并 不 充分 ， 因 为 它 将 质量 定义 为 符合 标准 ， 但 不 考虑 软件 用 户 的 体验 质 
量 。 比 如 ， 某 家 公司 所 定义 的 测试 覆盖 标准 是 ， 对 象 中 所 有 方法 必须 使 用 至 少 一 次 。 不 幸 的 
是 ， 不 完整 的 测试 也 能 满足 这 个 标准 盖 例如 对 方法 的 不 同 参数 没有 进行 测试 。 只 要 遵循 了 定 
义 的 测试 规程 ， 并 且 维 护 了 测试 记录 ， 这 个 公司 就 是 满足 ISO 9001 认证 的 。 


24.3 ”评审 与 审查 


评审 (review) SÆ (inspection) 是 检查 项 目 可 交付 物质 量 的 QA 活动 。 这 涉及 检查 
软件 、 文 档 以 及 审查 过 程 的 记录 ， 以 发 现 错误 和 遗漏 ， 还 要 检查 是 否 遵 循 质 量 标准 。 第 8 章 
a, 评审、 审查 和 程序 测试 是 软件 验证 和 确认 (V&V) 通用 过 程 的 一 部 分 。 

在 评审 过 程 中 ,一 个 团队 检查 软件 及 其 相关 文档 ， 寻 找 潜在 问题 和 与 标准 不 一 致 的 部 
分 。 评 审 团队 就 软件 质量 水 平 或 项 目 文 档 做 出 判断 。 然 后 项 目 管理 人 员 使 用 这 些 评定 来 做 出 
规划 决策 并 为 开发 过 程 分 配 资源 。 

质量 评审 基于 软件 开发 中 产生 的 文档 来 进行 。 软 件 规格 说 明 、 设 计 、 人 代码、 过 程 模型 、 
测试 计划 、 配 置 管理 规程 、 过 程 标准 以 及 用 户 指南 ， 这 些 可 能 都 要 评审 。 评 审 应 当 检 查 文档 
和 代码 的 一 致 性 和 完整 性 ， 确 保 遵 循 质量 标准 。 

然而 ， 评 审 不 仅仅 是 检查 与 标准 的 一 致 性 ， 还 被 用 来 帮助 发 现 软 件 和 项 目 文档 中 的 问题 
和 遗漏。 评审 的 结果 应 当 作为 质量 管理 过 程 的 一 部 分 被 正式 记录 。 如 果 发 现 了 问题 ， 应 将 评 
审 人 员 的 意见 交 给 开发 者 或 者 负责 修改 所 发 现 问题 的 人 员 。 

评审 和 审查 的 目的 是 提升 软件 的 质量 ， 不 是 评估 开发 团队 中 员工 的 表现 。 相 对 于 较为 
私下 进行 的 构件 测试 过 程 ， 评 审 是 一 个 检测 错误 的 公开 过 程 。 不 可 避免 的 是 ， 个 人 犯 的 错误 
会 暴露 在 整个 开发 团队 面前 。 要 确保 所 有 开发 人 员 对 评审 过 程 起 到 有 建设 性 的 作用 ， 项 目 管 
理 人 员 必 须 对 个 人 的 关注 点 保持 敏感 。 他 们 必须 营造 一 种 工作 文化 ， 即 发 现 错误 时 不 责备 当 
事 人 。 

尽管 质量 评审 为 制定 管理 决策 提供 关于 软件 质量 的 信息 ， 但 是 质量 评审 不 同 于 管理 过 程 
评审 。 过 程 评 审 将 软件 项 目的 实际 过 程 与 计划 过 程 对 比 ， 主 要 关注 项 目 是 否 能 够 按时 并 在 预 
算 范 围 内 发 布 有 用 的 软件 。 过 程 评审 将 外 部 因素 考虑 在 内 ， 环 境 变化 可 能 导致 不 再 需要 开发 
软件 或 是 必须 做 出 彻底 改动 。 由 于 业务 或 它 的 操作 环境 发 生 了 改变 ， 导 致 已 开发 出 高 质量 软 
件 的 项 目 不 得 不 被 撤销 。 


24.3.1 评审 过 程 
尽管 在 评审 的 细节 上 有 很 多 不 同 ,但 是 评审 过 程 ( 见 图 24-7 ) 一 般 分 为 下 面 3 个 阶段 。 





评审 前 活动 





评审 后 活动 











图 24-7 软件 评审 过 程 
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1. 评审 前 活动 。 这 些 准 备 工作 对 于 评审 的 有 效 进行 是 必需 的 。 具 有 代表 性 的 是 ， 这 些 评 
审 前 工作 关心 评审 的 计划 和 评审 的 准备 工作 。 评 审计 划 包 括 建立 一 个 评审 团队 ， 安 排 评审 的 
时 间 和 地 点 ， 分 发 要 评审 的 文档 。 在 评审 准备 工作 中 ， 评 审 团队 会 得 到 要 评审 的 软件 的 一 个 
综述 。 评 审 团队 各 个 成 员 需 要 阅读 并 理解 软件 、 文 档 以 及 相关 的 标准 。 他 们 独立 地 工作 ， 依 
靠 标 准 找 出 错误 、 遗 漏 和 不 符合 的 地 方 。 评 审 人 员 如 果 不 能 参加 评审 会 议 ， 他 们 可 以 针对 软 
件 提出 书面 意见 。 

2. 评审 会 议 。 在 评审 会 议 期 间 ， 被 评审 的 文档 或 程序 的 作者 应 该 和 评审 团队 一 起 把 文档 
从 头 到 尾 浏 览 一 遍 。 评 审 本 身 的 时 间 相 对 而 言 不 长 ， 至 多 2 小 时 。 一 个 团队 成 员 应 该 作为 评 
审 的 主席 ， 还 应 该 有 一 个 成 员 正 式 记录 所 有 评审 决议 和 要 采取 的 行动 。 在 评审 期 间 ， 主 席 负 
责 保 证 所 有 的 书面 意见 都 被 考虑 在 内 。 评 审 主 席 应 该 在 评审 期 间 写 下 一 个 达成 共识 的 意见 和 
行动 的 记录 。 

3, 评审 后 活动 。 在 评审 会 议 结束 后 ， 必 须 解决 在 评审 期 间 提出 的 问题 。 这 可 能 包括 修复 
软件 漏洞 ， 重 构 软 件 以 使 它 与 质量 标准 相 一 致 ， 或 是 重 写 文档 。 有 时 ， 在 质量 评审 中 发 现 的 
问题 要 进行 一 次 管理 评审 ， 以 决定 是 否 加 入 更 多 资源 来 解决 问题 。 在 做 出 改动 之 后 ， 评 审 主 
席 会 检查 所 有 被 考虑 的 评审 意见 。 有 时 ， 要 求 采 取 进 一 步 的 评审 来 检查 是 否 所 有 之 前 的 评审 
意见 都 做 出 了 改动 。 

评审 团队 应 该 挑选 3 ~ 4 名 主要 评审 员 作为 团队 的 核心 ， 应 该 有 一 个 资深 设计 人 员 负 责 
做 出 技术 上 的 重大 决策 。 主 要 评审 员 可 以 邀请 其 他 的 项 目 成 员 (如 相关 子 系统 的 设计 人 员 ) 
帮助 评审 ， 他 们 不 必 参 与 整个 文档 的 评审 ， 而 应 集中 精力 解决 影响 他 们 工作 的 问题 。 另 外 ， 
评审 团队 可 以 传阅 要 评审 的 文档 ， 并 要 求 其 他 的 项 目 成 员 写 出 书面 意见 。 项 目 管理 人 员 不 需 
要 参与 评审 ， 除 非 预 期 的 问题 要 求 改变 项 目 计划 。 

上 述 的 评审 过 程 需要 开发 团队 中 所 有 成 员 都 位 于 同一 地 点 ， 并 且 可 以 参加 团队 面对面 会 
议 ， 讨 论 待 评审 的 软件 或 文档 。 但 是 ， 现 在 项 目 团队 通常 是 分 散 的 ， 有 时 候 分 布 在 几 个 不 同 
国家 甚至 大 洲 ， 所 以 团队 成 员 聚 到 一 个 屋子 里 开会 通常 是 不 实际 的 。 在 这 种 情形 下 ， 可 以 使 

共享 文档 来 支持 远程 评审 ， 每 个 团队 成 员 使 用 评论 来 注释 文档 。 由 于 时 间 安 排 冲突 或 者 团 
队 成 员 在 不 同时 区 工作 等 原因 ,面对面 的 会 议 是 不 可 能 进行 的 。 评 审 主席 有 责任 协调 评审 评 
论 ， 以 及 单独 与 评审 团队 成 员 讨 论 所 做 的 修改 。 






O 惠 二 过 程 的 角色 


当 IBM 首次 建立 程序 审查 的 时 候 (Fagan 1986 )， 对 审查 小 组 的 成 员 有 多 个 正式 的 角 
色 分 工 。 这 些 角色 包括 协调 员 、 代 码 阅 读者 、 抄 写 员 。 审 查实 践 中 其 他 用 户 修 改 了 这 些 角 
色 ， 但 是 通常 都 接受 审查 中 要 有 以 下 角色 : 代码 作者 、 督 察 员 、 抄 写 员 、 协 调 员 。 审 查 过 
程 由 协调 员 来 主持 。 








http://software-engineering-book.com/web/qm-roles 


24.3.2 ”程序 审查 
程序 审查 是 “同行 评审 "， 团 队 成 员 合 作 发 现 已 开发 程序 中 的 漏洞 。 第 8 章 中 谈 到 ， 审 
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查 可 以 作为 软件 验证 和 确认 (V&V) 过 程 的 一 部 分 。 因 为 它们 不 要 求 执行 程序 ， 所 以 它们 和 
测试 互补 。 这 就 意味 着 程序 审查 能 够 验证 系统 的 不 完整 版 本 ， 并 且 能 够 检查 像 统一 建 模 语 言 
(UML) 模型 这 样 的 表示 法 。 程 序 测试 可 能 被 评审 。 测 试 评 审 能 够 发 现 测试 的 问题 ， 并 且 提 
升 这 些 测试 检测 程序 错误 的 有 效 性 。 

程序 审查 涉及 来 自 不 同 背景 的 团队 成 员 ， 他 们 对 程序 源 代码 进行 精心 的 、 逐 行 的 评审 。 
他 们 寻找 错误 和 问题 ， 并 且 在 审查 会 议 中 陈述 出 来 。 缺 陷 可 能 是 逻辑 错误 ， 也 可 能 是 代码 中 
的 异常 ， 这 些 异 常 可 能 表明 了 错误 情况 或 者 代码 遗漏 的 功能 特征 。 评 审 团队 详细 检查 设计 模 
型 和 程序 代码 ， 并 且 标 记 出 需 修 正 的 异常 和 问题 。 

审查 时 ， 经 常 使 用 一 份 常 见 编程 错误 的 检查 表 。 这 份 检查 表 是 基于 来 自 书本 的 实例 和 个 
别 应 用 领域 的 错误 经 验 做 出 的 。 我 们 对 于 不 同 的 编程 语言 使 用 不 同 的 检查 表 ， 因 为 每 种 语言 
有 它 自己 特有 的 错误 。Humphrey (Humphrey 1989) 在 对 审查 的 详细 讨论 中 ， 给 出 了 多 个 检 
查 表 的 例子 。 

在 审查 过 程 中 可 能 做 出 的 检查 如 图 24-8 所 示 。 每 个 组 织 都 应 当 根 据 部 门 标准 和 实践 开 
发 自己 的 检查 表 。 由 于 不 断 发 现 新 的 错误 类 型 ， 这 些 检查 表 应 经 常 更 新 。 因 为 编译 时 会 有 不 
同 的 检查 级 别 ， 检 查 表 的 条 目 根 据 编程 语言 不 同 而 有 区 别 。 例 如 ，Java 编译 器 检查 函数 的 参 
数 个 数 是 否 正确 ,但 是 C 编译 器 却 不 检查 。 











。 所 有 的 程序 变量 都 在 使 用 前 被 初始 化 了 吗 ? 
。 所 有 的 常量 都 命名 了 吗 ? 

。 数组 的 上 边界 应 该 等 于 数组 长 度 还 是 长 度 减 1 ? 
。 如 果 使 用 字符 串 ， 定 位 符 是 显 式 指定 的 吗 ? 

© 有 缓冲 区 溢出 的 可 能 性 吗 ? 
。 对 每 一 个 条 件 语句 ， 条 件 是 正确 的 吗 ? 
。 每 一 个 循环 都 能 终止 吗 ? 

。 复合 语句 被 正确 地 括 起 来 了 吗 ? 

。 对 于 case 语句， 所 有 可 能 的 情况 都 考虑 到 了 吗 ? 

。 在 每 一 个 case 语句 都 需要 跟 一 个 break iA, Aig? 
。 所 有 的 输入 变量 都 使 用 了 吗 ? 

。 所 有 的 输出 变量 在 输出 前 都 被 赋值 了 吗 ? 

© 未 料 到 的 输入 会 引起 系统 前 泪 吗 ? 
© 所 有 的 函数 和 方法 调用 的 参数 数量 都 正确 吗 ? 
。 形 参 和 实 参 类 型 匹配 吗 ? 

。 参数 顺序 都 对 吗 ? 

。 如 果 构 件 访问 共享 内 存 ， 它 们 都 有 相同 的 共享 内 存 结构 模型 吗 ? 
。 如 果 一 个 链接 结构 被 修改 了 ， 所 有 的 链接 都 得 到 重新 赋值 了 吗 ? 
。 如 果 使 用 了 动态 存储 ， 空 间 分 配 正 确 吗 ? 
。 如 果 空 间 不 再 使 用 ， 显 式 地 释放 空间 了 吗 ?” 


。 所 有 可 能 的 错误 状态 都 已 经 考虑 到 了 了 凤 ? 


图 24-8 ”审查 过 程 中 的 检查 表 


大 多 引入 审查 的 公司 发 现 ， 审 查 在 发 现 漏 洞 方 面 是 非常 有 效 的 。 据 Fagan (Fagan 1986 ) 
报告 ， 使 用 非 形式 化 的 程序 审查 可 以 检测 到 60% 以 上 的 程序 错误 。McConnell ( McConnell 
2004 ) 对 比 了 单元 测试 ， 其 错误 探测 率 大 约 为 25% ; 而 通过 审查 ， 错 误 探 测 率 达到 了 60%。 
这 些 比较 是 在 自动 化 测试 广泛 流行 之 前 完成 的 ， 所 以 不 清楚 审查 与 自动 化 测试 之 间 的 比较 。 
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尽管 评审 和 审查 具有 良好 的 成 本 -效益 ,很 多 软件 开发 公司 还 是 不 情愿 使 用 审查 或 者 同 
行 评审 。 审 查 会 比 测试 更 有 效 地 发 现 错误 ， 有 程序 测试 经 验 的 软件 工程 师 有 时 会 不 情愿 接受 
这 一 观点 。 管 理 人 员 也 可 能 产生 怀疑 ， 因 为 在 设计 和 开发 过 程 中 审查 工作 要 求 额外 的 开销 。 
他 们 不 希望 冒 风险 ， 即 评审 和 审查 没有 在 程序 测试 中 带 来 相应 的 成 本 节省 。 


24.4 质量 管理 与 敏捷 开发 


软件 工程 中 的 敏捷 方法 关注 代码 的 开发 。 这 些 方法 使 与 代码 开发 没有 直接 关系 的 文档 和 
过 程 减 到 最 少 ， 并 且 强 调 团队 成 员 之 间 的 非 正 式 沟通 而 不 是 基于 项 目 文档 的 沟通 。 敏 捷 开 发 
中 的 质量 意味 着 代码 质量 和 实践 活动 ， 比 如 使 用 重 构 和 测试 驱动 开发 确保 产 出 高 质量 代码 。 

敏捷 开发 中 的 质量 管理 是 非 正 式 的 ， 而 不 是 基于 文档 的 。 它 依赖 于 建立 一 种 质量 文化 ， 
这 种 文化 下 所 有 团队 成 员 都 对 软件 质量 抱 有 责任 感 ， 并 且 会 采取 措施 来 维护 质量 。 敏 捷 社 区 
从 根本 上 反对 ISO 9001 中 基于 标准 的 方法 和 质量 过 程 所 带 来 的 “ 官 信 ”成 本 。 采 用 敏捷 开 
发 方法 的 公司 很 少 关 注 ISO 9001 认证 。 

在 敏捷 开发 中 ， 质 量 管理 基于 良好 实践 的 共享 ， 而 不 是 正式 文档 。 下 面 列 出 几 个 良好 的 
实践 例子 。 

1. 提交 之 前 进行 检查 。 程 序 员 有 责任 在 提交 代码 构建 系统 前 ， 与 其 他 团队 成 员 一 起 对 自 
己 的 代码 进行 代码 评审 。 

2. 决 不 破坏 构建 。 团 队 成 员 提 交 的 代码 引发 系统 整体 崩溃 是 不 可 接受 的 。 因 此 ， 每 个 人 
必须 针对 整个 系统 对 他 的 代码 变更 进行 测试 ， 并 且 确 信 这 些 代 码 能 够 按 预 期 工作 。 如 果 构 建 
被 破坏 了 ， 错 误 代码 的 引入 者 应 该 优先 解决 这 个 问题 。 

3. 发 现 问题 就 修复 它 。 系 统 代码 属于 整个 团队 而 不 是 个 人 。 因 此 ， 如 果 一 个 程序 员 发 现 
别人 的 代码 出 现 问 题 或 者 过 于 星 涩 难 懂 ， 他 可 以 直接 修复 这 些 问题 ， 而 不 需要 让 代码 的 原作 
者 解决 。 

敏捷 软件 开发 中 的 评审 过 程 通常 是 非 正 式 的 。 例 如 ， 在 Scrum 中 ， 在 每 次 软件 迭代 完 
成 后 都 会 有 一 个 评审 会 议 (冲刺 评审 )， 其 中 会 讨论 到 质量 问题 。 为 了 避免 引起 质量 问题 ， 
团队 可 以 决定 改变 其 工作 方式 。 在 冲刺 评审 期 间 ， 集体 决策 关注 重 构 和 质量 改进 ， 而 不 是 增 
加 新 的 系统 功能 。 

代码 评审 可 能 是 个 人 的 责任 (提交 之 前 进行 检查 )， 也 可 能 依赖 于 结对 编程 的 使 用 。 第 3 
章 中 提 到 ， 结 对 编程 是 指 两 个 人 一 起 工作 ， 共 同 进行 代码 开发 并 共同 对 代码 负责 。 这 种 编程 
方式 下 ,一 个 人 开发 的 代码 不 断 被 男 一 个 人 检验 和 评审 。 两 个 人 共同 查看 每 一 行 代码 并 在 代 
码 被 接受 前 进行 测试 。 

结对 编程 会 使 人 员 对 程序 有 一 个 深入 的 了 解 ， 因 为 两 个 程序 员 必 须 理 解 程序 的 工作 细节 
才能 继续 开发 。 这 种 了 解 的 深度 有 时 很 难 在 其 他 审查 过 程 中 达到 ， 因 此 结对 编程 能 找 出 正式 
审查 过 程 有 时 都 不 能 发 现 的 漏洞 。 然 而 ,所 涉及 的 两 个 人 不 能 像 外 部 审查 小 组 那样 客观 ， 因 
为 他 们 是 在 检查 自己 的 工作 。 洪 在 的 问题 包括 下 面 这 些 。 

1. 共同 误解 。 结 对 的 两 位 成 员 在 理解 系统 需求 时 可 能 会 犯 同 样 的 错误 。 他 们 之 间 的 讨论 
可 能 会 加 深 错误 。 

2. 结对 声誉 。 结 对 小 组 可 能 不 愿意 查找 错误 ， 因 为 他 们 不 想 减 慢 项 目的 进度 。 

3. 工作 关系 。 结 对 小 组 发 现 缺陷 的 能 力 可 能 会 由 于 密切 的 工作 关系 而 降低 ， 因 为 他 们 不 
愿 批评 工作 伙伴 。 
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对 于 控制 软件 规格 说 明 的 软件 开发 公司 而 言 ， 敏 捷 方 法 中 采用 的 非 正 式 质 量 管理 方法 对 
于 软件 产品 开发 非常 有 效 。 没 有 必要 向 外 部 客户 提供 质量 报告 ， 也 不 需要 与 其 他 质量 管理 团 
队 整 合 。 然 而 ， 当 为 外 部 客户 开发 大 型 系统 时 ， 采 用 尽量 少 使 用 文档 的 敏捷 方法 进行 质量 管 
理 可 能 是 不 切实 际 的 ， 原 因 如 下 。 

1. 如 果 客 户 是 大 型 公司 ,他 可 能 有 自己 的 质量 管理 过 程 ， 并 且 可 能 希望 软件 开发 公司 用 
与 这 些 过 程 兼容 的 方式 来 报告 开发 进度 。 因 此 ， 开 发 团队 可 能 必须 根据 客户 的 要 求 制定 正式 
的 质量 规划 和 质量 报告 。 

2. 如 果 开 发 中 涉及 多 个 位 于 不 同 地 方 (分 布 式 ) 的 团队 ， 他 们 可 能 来 自 于 不 同 公司 ， 那 
么 非 正 式 沟通 可 能 是 不 切实 际 的 。 不 同 公司 可 能 有 不 同 的 质量 管理 方法 ， 所 以 可 能 需要 就 质 
量 管理 达成 共识 并 提供 正式 文档 。 

3. 对 于 长 生命 周期 的 系统 ， 参 与 开发 的 团队 将 会 发 生变 化 ， 如 果 没 有 任何 文档 ,新 团队 
成 员 将 难以 理解 为 什么 做 这 些 开发 决策 。 

因此 ,敏捷 方法 中 进行 质量 管理 的 非 正 式 方法 可 能 需要 调整 ， 以 便 引 入 一 些 奈 量 文档 和 
过 程 。 这 个 方法 通常 与 检 代 开发 过 程 集成 。 冲 刺 或 迭代 之 一 应 该 关注 产生 必要 的 软件 文档 ， 
而 不 是 软件 开发 。 


245 软件 度量 


软件 度量 (measurement) 就 是 对 软件 系统 的 某 些 属性 (如 复杂 度 或 可 靠 性 ) 进行 量化 。 
在 得 到 的 数据 之 间 以 及 数据 和 组 织 通用 标准 之 间 进 行 比较 ， 就 可 以 得 出 有 关 软 件 质 量 的 结 
论 ， 或 者 评估 软件 过 程 、 工 具 和 方法 的 有 效 性 。 在 理想 情况 下 ， 质 量 管理 依赖 于 对 影响 软件 
质量 的 属性 的 度量 。 你 可 以 客观 地 评估 则 在 提高 软件 质量 的 过 程 和 工具 的 变更 。 

举 个 例子 ,假设 一 个 公司 计划 引入 新 的 软件 测试 工具 。 在 引入 这 个 工具 之 前 ， 记 录 下 在 
给 定时 间 内 发 现 的 软件 缺陷 数目 。 这 是 评估 工具 有 效 性 的 基线 。 使 用 工具 一 段 时 间 后 ， 重 复 
这 个 过 程 。 如 果 引 入 该 工具 后 在 相同 的 时 间 内 发 现 的 缺陷 数目 增多 ， 就 可 以 认为 这 种 工具 能 
给 软件 确认 过 程 提供 有 益 的 支持 。 

软件 度量 的 长 期 目标 是 利用 度量 来 对 软件 质量 进行 评判 。 理 想 情况 下 ， 使 用 一 系列 量度 
对 软件 属性 进行 度量 能 评估 一 个 系统 ， 通 过 度量 可 以 推断 出 系统 的 质量 水 平 。 如 果 一 个 软件 
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以 突出 显示 出 软件 需要 改进 的 部 分 。 然 而 ， 现 实 距 离 理 想 情 况 还 相距 甚 远 。 想 要 达到 上 自动 质 
量 评估 的 理想 状况 在 可 预见 的 将 来 还 不 太 可 能 。 

软件 量度 ( metric) 是 能 够 被 客观 度量 的 软件 系统 、 系 统 文档 或 开发 过 程 的 特性 。 量 度 
的 例子 包括 : 以 代码 行 数 表示 的 软件 产品 规模 ; 雾 (fog) 指数 ， 它 是 一 段 文本 的 可 读 性 的 指 
标 ; 交付 的 软件 产品 中 所 报告 的 故障 数 ; 开发 一 个 系统 构件 所 需 的 人 日 数 等 。 

软件 量度 可 以 是 控制 量度 或 是 预测 性 量度 。 顾 名 思 义 ， 控 制 量度 支持 过 程 管理 ， 而 预测 
性 量度 帮助 预测 软件 的 特性 。 控 制 量度 通常 与 软件 过 程 相 关 。 修 复 已 发 现 缺 陷 所 需 平 均 工作 
量 和 时 间 是 控制 量度 (过 程 量度 ) 的 例子 。 有 3 种 过 程 量度 可 以 使 用 。 

1. 完成 特定 过 程 所 需 的 时 间 。 这 个 时 间 可 以 是 用 于 该 过 程 的 总 时 间 、 日 历时 间 、 特 定 工 
程 师 花 费 在 该 过 程 上 的 时 间 等 。 

2. 特定 过 程 所 需 的 资源 。 资 源 可 能 包括 以 人 日 为 单位 的 总 工作 量 、 差旅费 或 计算 机 
资源 。 
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3. 特定 事件 的 发 生 次 数 。 可 能 被 监控 的 事件 例子 包括 : 代码 审查 期 间 发 现 的 缺陷 数量 ， 
请 求 的 需求 变更 的 数量 ,已 交付 系统 中 的 错误 报告 的 数量 ， 以 及 为 啊 应 需求 变更 而 修改 的 代 
码 行 的 平均 数 。 

预测 性 量度 又 叫 产品 量度 ， 与 软件 本 身 相 关 。 预 测 性 量度 的 例子 有 : 模块 的 环 路 复杂 
度 ， 程 序 中 标识 符 的 平均 长 度 ， 在 设计 中 与 对 
象 类 有 关 的 属性 和 操作 的 数量 。 无 论 控 制 量度 
还 是 预测 性 量度 ， 都 能 影响 管理 决策 的 制定 ， 
如 图 24-9 所 示 。 管 理 者 使 用 过 程度 量 来 决定 
是 否 做 出 过 程 改变 ,使 用 预测 性 量度 来 决定 软 
件 变 更 是 否 必要 以 及 软件 是 否 可 以 发 布 。 

本 章 侧 重 于 讨论 预测 性 量度 ， 通 过 分 析 
软件 系统 代码 或 文档 自动 评估 其 价值 。 网 上 第 
26 章 讨论 控制 量度 及 其 在 过 程 改进 中 的 使 用 。 

软件 系统 度量 可 能 用 到 下 列 两 种 方法 。 

1. 给 系统 质量 属性 赋值 。 通 过 度量 系统 构 
件 的 特性 ， 并 将 这 些 度量 综合 起 来 ， 就 能 评估 系统 质量 属性 ， 比 如 可 维护 性 。 

2. 识别 质量 低 于 标准 的 系统 构件 。 度 量 能 识别 那些 特性 背离 某 些 规范 的 个 别 构件 。 例 
如 ， 可 以 度量 构件 以 发 现 那些 有 着 最 高 复杂 性 的 问题 构件 。 由 于 复杂 度 高 难于 理解 ， 这 些 构 
件 更 可 能 包含 错误 。 

就 像 图 24-2 所 示 ， 直 接 度量 软件 的 某 些 质量 属性 是 非常 困难 的 。 像 可 维护 性 、 可 理解 
性 和 可 用 性 等 质量 属性 是 外 部 属性 ， 与 开发 者 和 用 户 使 用 软件 的 经 验 有 关 。 它 们 受到 主观 因 
素 的 影响 ， 比 如 用 户 的 经 验 和 知识 使 他 们 无 法 客观 地 度量 软件 。 为 了 对 这 些 属性 做 出 判断 ， 
开发 者 不 得 不 度量 软件 的 某 些 内 在 属性 (如 软件 的 规模 、 复 杂 度 等 )， 并 假定 在 所 能 度量 的 
属性 和 想 要 了 解 的 质量 特性 之 间 存 在 着 一 定 的 关系 。 

图 24-10 给 出 了 某 些 软件 的 外 部 质量 属性 和 与 其 有 关 的 一 些 内 部 属性 。 该 图 说 明 在 外 部 
属性 和 内 部 属性 之 间 会 存在 某 些 关系 ， 但 没有 说 明 这 些 属 性 是 如 何 关 联 的 。 内 部 属性 的 度量 
能 否 对 外 部 的 软件 特性 做 出 有 益 的 预测 ， 取 决 于 以 下 3 个 条 件 (Kitchenham 1990 ) 。 


外 部 质量 属性 内 部 属性 


7 继承 树 的 深度 | 









软件 过 程 


控制 量度 度量 


软件 产品 


图 24-9 预测 性 量度 和 控制 量度 


可 靠 性 e 
E NY 代码 行 数 表示 的 程序 规模 
~ 出 错 信息 的 数量 


可 用 性 f | 
用 户 手册 的 长 度 | 


图 24-10 ”软件 内 部 属性 与 外 部 属性 的 关系 
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1. 内 部 属性 必须 被 精确 度量 。 这 个 往往 并 不 容易 ， 可 能 需要 开发 特殊 工具 来 实现 相应 的 
度量 。 

2. 在 能 够 度量 的 属性 和 我 们 感 兴趣 的 外 部 质量 属性 之 间 必 须 有 一 定 关系 。 也 就 是 说 ， 在 
某 种 程度 上 ， 质 量 属 性 的 值 必须 和 可 度量 属性 的 值 相 关联 。 

3. 内 部 属性 和 外 部 属性 的 关系 必须 是 可 理解 的 、 可 确认 的 ， 能 用 公式 或 模型 表达 出 来 。 
模型 的 公式 化 表示 需要 识别 模型 的 函数 形式 (线性 的 、 指 数 的 等 )， 这 是 通过 分 析 收 集 到 的 
数据 ， 找 出 模型 中 要 包含 的 参数 ， 并 用 现 有 数据 校正 这 些 参 数 来 完成 的 。 

最 近 在 软件 分 析 领 域 的 研究 工作 (Zhang et al. 2013 ) 已 使 用 数据 控 掘 和 机 器 学 习 技术 来 
分 析 软 件 产品 和 过 程 数 据 的 存储 库 。 软 件 分 析 (Menzies and Zimmermann 2013 ) 背后 的 思 
想 是 ,我 们 实际 上 不 需要 一 个 反映 软件 质量 和 已 收集 数据 之 间 关 系 的 模型 。 相 反 ， 如 果 有 足 
够 的 数据 ， 则 可 以 发 现 相关 性 并 对 软件 属性 做 出 预测 。24.5.4 节 将 讨论 软件 分 析 。 

目前 几乎 没有 关于 工业 上 系统 化 软件 度量 的 公开 出 版 信息 。 许 多 公司 的 确 收 集 了 软件 信 
息 ， 例 如 需求 变更 数 或 在 测试 中 发 现 的 缺陷 数 。 然 而 ， 还 不 清楚 他 们 是否 接 下 来 系统 地 使 用 
了 这 些 度量 去 比较 软件 产品 和 过 程 ， 或 是 评估 变更 对 软件 过 程 和 工具 的 影响 。 系 统 性 的 度量 
比较 困难 的 原因 如 下 。 

1. 引入 一 个 组 织 量度 或 软件 分 析 程 序 的 投资 回报 是 无 法 量化 计算 的 。 在 过 去 的 几 年 里 ， 
软件 的 质量 已 经 取得 了 极 大 的 改善 ， 这 是 在 并 没有 使 用 量度 的 情况 下 取得 的 ， 因 此 很 难 判断 
引入 系统 化 软件 度量 和 评估 的 初始 开销 。 

2. 现在 还 没有 软件 量度 的 标准 ， 也 没有 标准 化 的 度量 和 分 析 过 程 。 在 这 些 标准 和 文 持 工 
具 出 现 之 前 ， 大 多 数 公 司 不 愿意 引入 度量 。 

3. 度量 可 能 需要 开发 和 维护 专门 的 软件 工具 。 当 度量 的 回报 未 知 时 ， 很 难 证 明 工 具 开 发 
的 成 本 是 合理 的 。 

4. 在 许多 公司 ， 软 件 过 程 是 非 标准 化 的 ， 没 有 很 好 定义 ， 而 且 也 很 难 控制 。 在 某 种 意义 
上 讲 ， 在 同一 家 公司 内 部 以 有 效 方式 使 用 度量 还 存在 很 多 过 程 上 的 不 确定 性 。 

5. 许多 关于 软件 度量 和 量度 的 研究 主要 侧重 于 基于 代码 的 量度 和 计划 驱动 开发 过 程 。 然 
而 ， 越 来 越 多 的 软件 开发 是 复 用 和 配置 现 有 应 用 系统 或 使 用 敏捷 方法 ， 因此， 开发 者 并 不 知 
道 先前 对 量度 的 研究 是 否 适 用 于 这 些 软 件 开发 技术 。 

6. 引入 度量 增加 了 过 程 中 额外 的 开销 。 这 和 敏捷 方法 的 目标 相 了 矛盾 ， 敏 捷 方 法 推崇 消除 
那些 和 程序 开发 没有 直接 关联 的 过 程 活动 。 因 此 已 经 采取 敏捷 方法 编程 的 公司 并 不 倾向 于 采 
用 度量 程序 。 | 

软件 度量 和 量度 是 经 验 软件 工程 的 基础 。 这 是 一 个 新 的 研究 领域 ， 通 过 对 软件 工程 的 实 
验 和 对 真实 项 目 数 据 的 收集 ， 建 立 和 验证 关于 软件 工程 方法 和 技术 的 假设 。 致 力 于 这 个 领域 
的 研究 者 们 认为 ， 只 有 当 我 们 能 够 提供 具体 的 证 据 来 证 明 某 些 软件 工程 方法 和 技术 真正 如 它 
们 的 提出 者 所 声称 的 那样 带 来 效益 ， 我 们 才能 相信 此 软件 工程 方法 和 技术 。 

然而 ， 经 验 软件 工程 的 研究 对 软件 工程 实践 没有 产生 重大 影响 。 很 难 将 一 般 性 的 研究 与 不 同 
于 研究 工作 的 单个 项 目 联系 起 来 。 许 多 局 部 因素 可 能 比 一 般 的 经 验 结果 更 重要 。 为 此 ， 软 件 分 析 
的 研究 人 员 认 为 ， 分 析 不 应 该 试图 得 出 一 般 性 的 结论 ， 而 应 该 提供 面向 特定 系统 的 数据 分 析 。 


24.5.1 ”产品 量度 
产品 量度 是 用 来 量化 一 个 软件 系统 内 部 属性 的 预测 性 量度 。 产 品 量度 的 例子 包括 系 
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统 规模 、 代 码 行 数 、 每 个 对 象 类 的 方法 数 等 。 不 幸 的 是 ， 如 本 节 前 面 讨论 过 的 ， 容 易 度 量 
的 软件 特性 (如 规模 和 环 路 复杂 度 ) 与 质量 属性 (如 可 理解 性 、 可 维护 性 等 ) 之 间 没 有 一 
个 清晰 而 又 一 致 的 关系 。 这 种 关系 是 随 着 开发 过 程 、 技 术 以 及 被 开发 系统 类 型 的 不 同 而 不 
同 的 。 

产品 量度 分 为 两 类 。 

1. 动态 量度 ， 这 是 通过 对 执行 中 的 程序 进行 度量 所 收集 到 的 。 在 系统 测试 期 间或 系统 投 
入 使 用 后 可 以 收集 到 这 些 量 度 。 例 如 ， 出 错 报告 的 数量 或 完成 计算 所 花费 的 时 间 。 

2. 静态 量度 ， 这 是 通过 对 系统 各 种 表现 形式 (如 设计 、 程 序 或 文档 等 ) 进行 度量 所 收集 
到 的 。 静 态 量 度 的 示例 如 图 24-11 所 示 。 

这 些 量度 类 型 与 不 同 的 质量 属性 有 关 。 动 态 量度 用 于 评估 一 个 程序 的 效率 和 可 靠 性 ， 而 
静态 量度 则 用 于 评估 一 个 软件 系统 或 系统 构件 的 复杂 度 、 可 理解 性 和 可 维护 性 。 

动态 量度 与 软件 质量 特性 的 关系 通常 较为 清晰 。 度 量 特定 函数 的 执行 时 间 和 评估 系统 启 
动 时 间 相 对 比较 容易 ， 它 们 与 系统 的 效率 有 直接 的 关系 。 同 样 ， 系 统 失 效 数 和 失效 的 类 型 要 
记录 下 来 ， 它 们 直接 关系 到 软件 的 可 靠 性 ， 如 第 12 章 讨 论 的 。 

正如 图 24-11 所 示 ， 静 态 量度 与 质量 属性 的 关系 是 间接 的 。 人 们 已 提出 很 多 这 类 量度 ， 
并 进行 实验 ， 试 图 得 出 和 验证 这 些 量度 与 系统 的 复杂 度 和 可 维护 性 之 间 的 关系 。 这 些 实验 都 
没有 结论 ， 但 根据 程序 规模 和 控制 复杂 度 能 对 可 理解 性 、 系 统 复杂 度 和 可 维护 性 做 出 最 可 靠 
的 预测 。 











出 人 是 对 调用 其 他 函数 或 方法 的 函数 数 或 方法 数 (假设 用 义 表示 ) 的 度量 。 忆 出 是 
被 X 调用 的 函数 数 。 一 个 高 的 扇 人 值 意味 着 和 与 其 他 的 设计 紧密 结合 ， 对 X 的 修改 
将 产生 广泛 的 影响 。 因 为 协调 被 调用 构件 所 需 的 控制 逻辑 的 复杂 度 ， 一 个 高 的 扇 出 值 
意味 着 X 的 整体 复杂 度 可 能 很 高 
这 是 对 程序 规模 的 度量 。 通 常 一 个 构件 的 代码 越 多 就 越 复 杂 ， 并 容易 出 错 。 代 码 长 
度 是 预测 构件 中 易 出 错 程度 的 最 可 靠 的 量度 之 一 

这 是 对 程序 控制 复杂 度 的 度量 。 这 个 控制 复杂 度 可 能 与 程序 的 可 理解 性 有 关 。 第 8 
章 介 绍 了 怎样 计算 环 路 复杂 度 


这 是 对 程序 中 标识 符 (变量 名 、 类 名 、 方 法 名 等 ) 的 平均 长 度 的 度量 。 标 识 符 越 长 












含义 可 能 就 越 明确 ， 程 序 也 就 越 可 理解 
这 是 对 程序 中 证 条 件 嵌 套 深度 的 度量 。 较 深 的 证 条 件 蔡 套 难以 理解 并 可 能 容易 出 错 
这 是 对 文档 中 字 和 句子 平均 长 度 的 度量 。 雾 指数 的 值 越 高 ， 文 档 就 越 难以 理解 
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图 24-11 静态 软件 产品 量度 


图 24-11 中 的 量度 对 所 有 程序 都 是 适用 的 ， 但 也 提出 了 专门 面向 对 象 的 量度 。 
图 24-12 概括 了 Chidamber 和 Kemerer ( Chidamber and Kemerer 1994) 套件 (有 时 称 为 CK 套件 ) 
的 6 个 面向 对 象 量度 。 虽 然 这 些 量度 是 20 世纪 90 年 代 初 提出 来 的 ， 但 它们 仍然 是 使 用 最 为 
广泛 的 面向 对 象 量度 。 当 创建 UML 图 时 ， 一 些 UML 的 设计 工具 可 以 自动 收集 这 些 量度 值 。 

El-Amam ( El-Amam 2001 ) 在 对 面向 对 象 量度 的 评论 中 ， 讨 论 了 CK 量度 和 其 他 一 些 
面向 对 象 量度 ， 并 得 出 结论 ， 我 们 还 没有 足够 的 证 据 来 弄 清 楚 面 向 对 象 量度 是 如 何 与 外 部 软 
件 质量 关联 的 。 自 他 2001 年 的 分 析 之 后 ， 情 况 仍 没有 真正 改变 。 我 们 仍然 不 知道 如 何 使 用 
面向 对 象 程 序 的 度量 去 得 出 有 关 软 件 质量 的 可 靠 结 论 。 
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面向 对 象 量度 


这 是 每 个 类 中 的 方法 数 ， 是 对 每 个 方法 根据 复杂 度 进行 加 权 后 所 


计算 得 到 的 。 因 此 ,一 个 简单 方法 的 复杂 度 为 1， 一 个 大 而 复杂 的 

每 个 类 的 加 权 方 法 数 (WMC) | 方法 的 值 将 大 得 多 。 这 个 度量 值 越 大 ， 对 象 类 就 越 复杂 。 复 旭 的 对 
象 似乎 更 难以 被 理解 。 它 们 在 多 辑 上 未 必 是 耦合 的 ， 因 而 在 一 棵 继 
承 树 中 不 能 有 效 地 作为 超 类 进行 复 用 


这 代表 在 继承 树 中 的 具体 层 数 。 子 类 继承 超 类 的 属性 和 操作 ( 方 
继承 树 的 深度 (DIT) 法 )。 继 承 树 越 深 ， 设 计 就 越 复杂 。 很 多 对 象 类 必须 理解 后 才能 和 弄 清 
楚 树 中 叶子 节点 的 对 象 类 含义 
这 是 度量 类 的 直接 子 类 数 。 它 度量 类 层次 结构 的 宽度 ， 而 DIT 代 
孩子 数 (NOC) 表 它 的 深度 。NOC 值 大 意味 着 更 多 的 复 用 。 它 可 能 意味 着 要 在 确认 
基 类 上 投入 更 多 的 工作 量 ， 因 为 依赖 于 它们 的 子 类 数 


当 一 个 类 中 的 方法 使 用 在 另 一 个 类 中 定义 的 方法 或 实例 时 ， 类 间 
对 象 类 间 耦 合 度 (CBO) 就 是 耦合 的 。CBO 意味 着 类 是 高 度 依赖 的 ， 因 此 在 一 个 类 上 的 改变 
会 影响 程序 中 的 其 他 类 
REC 是 当 类 的 对 象 接 收 到 消息 时 可 能 对 此 微 出 啊 应 的 方法 数 的 度 
对 类 的 响应 (RFC ) 量 。RFC 是 与 复杂 度 相 关 的 ，RFC 越 高 ， 说 明 类 的 复杂 度 越 高 ， 因 
而 它 就 更 容易 产生 错误 
LCOM 是 通过 计算 类 中 各 对 方法 而 得 出 的 。LCOM 是 两 个 数 的 差 ， 
一 个 数 是 方法 间 没 有 共享 属性 的 方法 对 数 ， 另 一 个 数 是 方法 间 有 共 
方法 内 聚 缺 乏 度 (LCOM) | 部 属性 的 方法 对 数 。 该 量度 值 受到 广泛 争议 ， 有 很 多 变种 ， 不 清楚 
它 是 否 真 的 比 其 他 量度 提供 了 更 多 有 用 的 信息 


图 24-12 CK 面向 对 象 量度 套件 





24.5.2 ”软件 构件 分 析 


作为 软件 质量 评估 过 程 的 一 部 分 ， 软 件 度量 过 程 如 图 24-13 所 示 。 对 系统 的 每 一 个 构件 
都 使 用 一 系列 量度 单独 分 析 。 不 同 构件 得 出 的 量度 值 之 间 可 以 进行 比较 ， 有 时 还 要 与 以 前 项 
目 中 收集 的 历史 度量 数据 进行 比较 。 异 常 的 度量 (严重 偏离 正常 值 ) 可 能 表示 相关 构件 的 质 
量 存 在 问题 。 






识别 异常 度量 


度量 构件 特性 





图 24-13 ”产品 度量 过 程 


这 个 构件 度量 过 程 包括 下 面 这 些 关 键 阶 段 。 

1. 选择 要 做 的 度量 。 上 度量 要 回答 的 问题 应 该 准确 曾 述 ， 所 需 的 度量 需要 良好 定义 。 不 必 
收集 与 这 些 问题 不 直接 相关 的 度量 。 

2. 选择 要 评估 的 构件 。 在 软件 系统 中 评估 所 有 构件 的 量度 值 既 没 有 必要 ， 也 没有 意义 。 
在 有 些 情况 下 ， 要 选择 有 代表 性 的 构件 进行 度量 ， 这 样 对 系统 质量 有 个 整体 的 估计 。 而 在 其 
他 情况 下 ， 则 要 评估 一 些 特 别 关键 的 构件 ， 例 如 几乎 处 于 持续 使 用 中 的 核心 构件 。 这 些 构件 
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化 的 数据 采集 工具 对 构件 的 表现 形式 〈 设 计 、 代 码 等 ) 进行 处 理 。 这 种 工具 可 以 是 专门 写 的 ， 
也 可 能 是 所 使 用 的 设计 工具 的 某 个 特征 。 

4. 识别 异常 度量 。 构 件 度量 一 旦 完成 ， 就 应 该 对 其 进行 相互 比较 ， 还 要 把 它们 与 度量 数 
据 库 中 的 以 前 的 度量 相 比 较 。 找 出 每 一 量度 中 异常 高 或 者 异 第 低 的 值 ， 从 中 可 以 推测 出 具有 
这 些 值 的 构件 可 能 存在 问题 。 

5. 分 析 蜡 常 构件 。 一旦 从 选 定 的 量度 中 识别 出 具有 异常 值 的 构件 ， 就 应 该 检查 这 些 构 
件 ， 从 而 确定 这 些 异 常量 度 值 是 否 意味 着 该 构件 的 质量 出 现 了 问题 。 复 杂 度 的 异常 量度 值 并 
不 一 定 意味 着 构件 的 质量 差 。 特 别 高 的 数值 可 能 男 有 原因 ， 它 可 能 不 意味 着 构件 的 质量 出 了 
问题 。 

如 果 可 能 的 话 ， 应 该 将 所 有 收集 的 数据 作为 组 织 的 资源 保留 ， 即 使 在 特定 的 项 目 中 并 没 
有 使 用 这 些 数据 ， 也 应 保留 所 有 项 目的 历史 记录 。 一 且 一 个 非常 大 的 度量 数据 库 建 立 起 来 ， 
就 可 以 进行 跨 项 目的 软件 质量 比较 ， 并 确认 内 部 构件 属性 与 质量 特性 的 关系 。 


24.5.3 ”度量 歧义 


在 收集 有 关 软 件 和 软件 过 程 的 量化 数据 时 ， 必 须 分 析 这 些 数 据 以 了 解 它 们 的 真正 含义 。 
曲解 了 这 些 数据 就 很 容易 得 出 错误 的 结论 。 不 能 仅仅 只 了 解数 据 的 本 身 ， 还 必须 同时 考虑 收 
集 数据 的 上 下 文 环境 。 

对 收集 到 的 数据 可 能 存在 不 同 的 解释 方式 ， 为 了 说 明 这 一 点 ， 考 虑 下 面 的 情景 ， 它 与 系 
统 用 户 提 交 的 变更 请 求 数 有 关 。 

管理 者 决定 度量 客户 提交 的 变更 请 求 数 。 基 于 这 样 一 种 假定 ， 即 客户 提交 的 变更 请 求 与 
产品 的 可 用 性 和 适应 性 有 一 定 关系 ， 变 更 请 求 数 越 大 ， 软 件 就 越 不 能 满足 客户 的 需要 。 

处 理 变 更 请 求 和 变更 软件 的 费用 很 高 ， 因 此 组 织 决 定 更 改 软件 过 程 以 提高 客户 的 满意 
度 ， 同 时 降低 变更 的 成 本 。 他 们 希望 过 程 更 改 会 使 产品 更 好 ， 使 变更 请 求 减 少 。 进 行 过 程 更 
改 ， 让 更 多 的 客户 参与 到 软件 设计 过 程 中 。 对 所 有 产品 引入 B 测试 ， 把 客户 请 求 的 修改 反 
映 到 交付 的 产品 中 ， 

这 个 过 程 做 了 更 改 后 ， 继 续 对 变更 请 求 进行 度量 。 由 这 个 更 改 了 的 过 程 所 生产 的 新 版 本 
交付 给 客户 。 在 有 些 情 况 下 ， 变 更 请 求 数 减少 ; 而 在 有 些 情 况 下 ， 反 而 增加 。 这 使 管理 者 很 
困惑 ， 不 能 评估 过 程 更 改 对 产品 质量 的 影响 。 

为 了 了 人 解 为 什么 会 发 生 这 种 事情 ， 必 须 了 解 用 户 为 什么 会 提出 变更 请 求 : 

1. 软件 不 能 做 客户 想 让 它 做 的 事情 ， 因 此 客户 通过 请 求 变更 来 传达 他 们 所 要 求 的 功能 ; 

2. 软件 非常 好 ， 可 以 被 普遍 而 又 频繁 地 使 用 ， 一 些 软件 客户 创造 性 地 想 让 软件 可 以 完成 
一 些 新 的 功能 ， 因 而 也 可 能 提出 变更 请 求 。 

因此 ， 如 果 客 户 更 多 地 参与 软件 开发 过 程 也 许 会 减少 客户 不 满意 的 地 方 ， 从 而 减少 变更 
请 求 数 量 。 过 程 更 改 比 较 有 效 ， 软 件 的 可 用 性 和 适应 性 会 变 得 更 好 。 然 而 ， 过 程 更 改 也 可 能 
不 起 作用 ， 客 户 可 能 已 经 决定 寻找 男 一 个 可 供 选 择 的 系统 。 产 品 因 出 现 竞争 对 手 而 失去 了 市 
场 占 有 率 ， 也 会 使 变更 请 求 数 减少 。 这 样 该 产品 的 用 户 也 减少 了 。 

男 一 方面 ， 过 程 更 改 可 能 使 许多 新 的 客户 更 愿意 参与 产品 的 开发 过 程 。 因 此 他 们 会 有 更 
多 的 变更 请 求 。 更 改 处 理 变 更 请 求 的 过 程 可 能 会 加 速 变更 请 求 数量 的 增长 。 如 果 公 司 对 客户 
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PAR Unk, SU AA aA Be aE TOR, OY HAT A 2S DO EE BOR, CHE AY 
相信 他 们 的 建议 极 有 可 能 会 加 入 到 之 后 的 软件 版 本 中 。 或 者 ， 因 为 B 测试 点 选择 不 当 ， 没 
有 典型 地 反映 出 程序 的 最 大 多 数 使 用 情况 ， 这 也 会 使 变更 请 求 数 增加 。 

要 分 析 变 更 请 求 数据 ,我 们 不 能 只 知道 变更 请 求 的 数量 ， 还 需要 知道 是 谁 提出 变更 请 
求 ， 他 们 如 何 使 用 该 软件 ， 以 及 为 什么 会 提出 该 请 求 。 我 们 还 要 知道 一 些 外 部 因素 ， 如 更 改 
变更 请 求 规程 、 市 场 变 化 等 ， 是 否 会 对 变更 请 求 数量 产生 影响 。 有 了 上 述 信息 ， 就 更 有 可 能 
揭示 过 程 更 改 是 否 对 提高 产品 质量 有 意义 了 。 

以 上 的 论述 说 明 ， 理 解 变 更 影响 是 困难 的 ， 解 决 这 个 问题 的 科学 方法 是 减少 那些 会 影响 
度量 的 因素 。 然 而 ， 要 度量 的 过 程 和 产品 不 能 扳 立 于 它们 的 环境 而 存在 ， 业 务 环境 是 不 断 变 
化 的 ， 而 环境 的 变化 可 能 使 数据 的 对 照 失 去 意义 。 有 关 人 类 活动 的 量化 数据 不 能 总 是 看 它 的 
表面 丛 。 度 量 值 改 变 的 原因 往往 是 模糊 的 ， 应 该 把 度量 值 之 所 以 能 够 说 明 产 品质 量 属 性 的 深 
层次 原因 调查 清楚 。 


24.5.4 软件 解析 


在 过 去 几 年 中 ,“ 大 数据 分 析 ” 概 念 已 经 出 现 ， 并 成 为 通过 自动 挖掘 和 分 析 大 量 自 动 收 
集 的 数据 来 发 现 规律 的 一 种 手段 。 它 可 以 发 现 人 工 数据 分 析 和 建 模 无 法 找到 的 数据 项 之 间 的 
关系 。 软 件 解析 是 将 这 些 技术 应 用 于 与 软件 和 软件 过 程 有 关 的 数据 。 

以 下 两 个 因素 使 得 软件 解析 成 为 可 能 。 

1. 软件 产品 公司 的 产品 在 使 用 时 能 够 自动 收集 用 户 数据 。 如 果 软 件 失效 ， 关 于 失效 和 系 
统 状态 的 信息 可 以 通过 因特网 从 用 户 的 计算 机 发 送 到 由 产品 开发 者 运行 的 服务 器 上 。 因 此 ， 
可 以 获得 单个 产品 (如 Internet Explorer 或 Photoshop) 的 大 量 数据 并 用 于 分 析 。 

2. 开源 软件 在 诸如 Sourceforge 和 GitHub 平台 上 可 以 使 用 ， 软件 工程 数据 的 开源 存储 
库 也 可 以 使 用 ( Menzies and Zimmermann 2013 )。 开 源 软 件 的 源 代码 可 用 于 自动 分 析 ， 并 且 
有 时 可 以 链接 到 开源 存储 库 中 的 数据 。 

Menzies 和 Zimmerman (Menzies and Zimmermann 2013 ) 将 软件 解析 定义 为 : 

软件 解析 是 为 管理 者 和 软件 工程 师 提 供 的 软件 数据 分 析 ， 目 的 是 使 软件 开发 人 员 和 团队 
能 够 从 他 们 的 数据 中 获取 和 分 享 规律 ， 从 而 做 出 更 好 的 决策 。 

Menzies 和 Zimmermann 强调 分 析 的 要 点 不 是 得 出 有 关 软 件 的 一 般 性 理论 ， 而 是 确定 软件 
开发 人 员 和 管理 者 感 兴 趣 的 具体 问题 。 分 析 旨 在 实时 提供 有 关 这 些 问题 的 信息 ， 以 便 根 据 分 析 
所 提供 的 信息 采取 行动 。 在 对 微软 管理 者 的 研究 中 ,Buse 和 Zimmermann(Buse and Zimmermann 
2012) 确定 了 以 下 信息 需求 ， 例 如 : 如 何 规定 目标 测试 . 审查 和 重 构 ， 何 时 发 布 软件 ， 以 及 
如 何 了 解 软件 客户 的 需求 。 

一 系列 不 同 的 数据 挖掘 和 分 析 工 具 可 用 于 软件 解析 〈Witten，Frank，and Hall 2011 ) 。 
一 般 来 说 ， 对 于 特定 情况 不 可 能 知道 哪些 分 析 工 具 最 好 ， 必 须 尝 试 多 个 工具 来 发 现 哪些 是 最 
ALY. Buse 和 Zimmerman 提出 了 以 下 工具 使 用 指南 。 

e 工具 应 该 易于 使 用 ， 因 为 管理 者 可 能 不 太 有 分 析 经 验 。 

e 工具 应 该 运行 快速 并 产生 简洁 的 输出 ， 而 不 是 产生 大 量 的 信息 。 

。 工具 应 该 使 用 尽 可 能 多 的 参数 进行 多 方面 的 度量 ， 不 可 能 提前 预测 出 什么 规律 可 能 

出 现 。 
e 工具 应 该 是 交互 式 的 ， 并 人 允许 管理 者 和 开发 人 员 探索 分 析 ， 它 们 应 该 认识 到 管理 者 
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和 开发 人 员 对 不 同 的 事情 感 兴趣 。 它 们 不 应 该 是 可 预测 的 ， 而 应 当 基 于 对 过 去 和 = 
前 数据 的 分 析 为 决策 提供 支持 。 

Zhang 和 她 的 同事 ( Zhang et al. 2013 ) 描述 了 软件 解析 在 性 能 调试 方面 的 一 个 极 好 的 实 
际 应 用 。 用 户 软 件 可 以 收集 与 啊 应 时 间 和 系统 状态 相关 的 数据 。 当 啊 应 时 间 大 于 预期 时 ， 发 
送 该 数据 用 于 分 析 。 目 动 化 分 析 突 出 了 软件 中 的 性 能 瓶颈 。 然 后 ， 开 发 团队 可 以 改进 算法 来 
消除 瓶颈 ， 从 而 在 之 后 的 软件 发 布 版 本 中 提高 性 能 。 

在 撰写 本 文 时 ， 软 件 解析 还 不 成 熟 ， 现 在 说 它 会 有 什么 效果 还 为 时 过 早 。 不 仅 有 “大 数 
据 ” 处 理 的 一 般 问题 ( Harford 2013 )， 而 且 我 们 的 知识 总 是 依赖 于 大 公司 收集 的 数据 。 这 些 
数据 主要 来 自 软 件 产品 ， 目 前 尚 不 清楚 适用 于 产品 的 工具 和 技术 是 否 也 可 以 与 定制 软件 一 起 
使 用 。 小 公司 不 太 可 能 在 自动 化 分 析 所 需 的 数据 采集 系统 上 投资 ， 因 此 他 们 可 能 无 法 使 用 软 
件 分 析 。 
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o 软件 质量 管理 就 是 确保 软件 有 较 少 的 缺陷 数 ， 并 达到 可 维护 性 、 可 靠 性 、 可 移植 性 
等 既定 标准 。 质 量 管理 活动 包括 为 过 程 和 产品 定义 标准 ， 并 为 检测 是 否 符合 这 些 标 
准 而 建立 过 程 。 

© 软件 标准 对 质量 保证 来 说 非常 重要 ， 因 为 这 些 标准 是 对 “最 佳 实践 ”的 认同 。 开 发 
软件 时 ， 标 准 为 开发 质量 优秀 的 软件 提供 了 坚实 的 基础 。 

o 对 软件 过 程 产生 的 可 交付 物 进行 评审 需要 有 检查 质量 标准 执行 情况 的 团队 人 员 参 加 。 
评审 是 质量 评估 的 一 种 最 为 广泛 采用 的 方法 。 

e 在 程序 审查 或 同行 评审 中 ， 由 一 个 小 团队 系统 地 检查 代码 。 他 们 仔细 地 读 这 些 代码 
并 寻找 可 能 的 错误 和 遗漏 ， 然 后 在 代码 评审 会 议 中 讨论 这 些 问 题 。 

。 敏捷 质量 管理 通常 不 依赖 于 独立 的 质量 管理 团队 。 相 反 ， 它 依赖 于 建立 一 种 质量 文 
化 ， 使 开发 团队 一 起 工作 来 提高 软件 质量 。 

o 软件 度量 可 以 用 于 收集 有 关 软 件 和 软件 过 程 的 量化 数据 。 所 收集 的 软件 量度 值 可 以 
用 于 推论 产品 和 过 程 的 质量 。 

e 产品 质量 量度 对 于 发 现存 在 质量 问题 的 异常 构件 具有 特别 重要 的 意义 。 应 该 对 这 些 
构件 做 更 深入 的 分 析 。 

© 软件 解析 是 对 大 量 软件 产品 和 过 程 数 据 的 自动 分 析 ， 从 而 发 现 可 能 为 项 目 管理 者 和 
开发 人 员 提 供 规律 的 关系 。 
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www.scrumalliance.org/system/resource_files/0000/0459/agileqa.pdf 

《 Software Analytics: So What ? 》 是 一 篇 很 好 的 介绍 性 文章 ， 解 释 了 什么 是 软件 解析 ， 
以 及 为 什么 它 变 得 越 来 越 重要 。 这 是 一 个 关于 软件 解析 的 特殊 问题 的 介绍 ， 你 可 能 会 发 现 
与 该 问题 有 关 的 其 他 几 篇 文章 来 辅助 理解 软件 分 析 。( T. Menzies and T. Zimmermann, IEEE 
Software, 30(4), July-August 2013 ) http://dx.doi.org/10.1109/MS.2013.86 


网 站 
本 章 的 PPT: http://software-engineering-book.com/slides/chap24/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/software-management/ 


练习 


24.1 解释 为 什么 高 质量 的 软件 过 程 会 产生 高 质量 的 软件 产品 。 讨 论 这 种 质量 管理 体系 可 能 
存在 的 问题 。 

24.2 解释 组 织 如 何 用 标准 去 获取 软件 开发 的 有 效 方法 。 提 出 可 在 组 织 标准 中 获取 的 4 种 
知识 。 

24.3 根据 图 24-2 给 出 的 质量 属性 讨论 软件 质量 评估 ， 依 次 说 明 每 个 属性 该 如 何 评估 。 

24.4 简要 描述 可 能 用 到 的 标准 : 
e ÆC, C # 或 Java 中 使 用 控制 结构 ; 
e 一 所 大 学 有 关 学 期 项 目 安排 的 报告 ; 
e 程序 变更 的 构建 和 批准 过 程 ( 见 网 上 第 26%); 
e 购买 并 安装 一 个 新 计算 机 的 过 程 。 

24.5 假设 你 所 在 的 组 织 要 为 个 人 和 小 型 业务 开发 数据 库 产品 ， 而 该 组 织 对 这 个 软件 开发 的 
量化 感 兴趣 ， 请 你 写 一 份 报告 提出 合适 的 量度 ， 并 说 明 如 何 收集 量度 。 

24.6 ”为 什么 程序 审查 是 发 现 程序 错误 的 一 个 非常 有 效 的 方法 ? 在 审查 中 不 可 能 发 现 什 么 类 
型 的 错误 ? 

24.7 如 果 在 使 用 敏捷 方法 开发 软件 的 公司 中 引入 正式 的 程序 审查 ， 可 能 会 出 现 什么 
问题 ? 

24.8 ”为 什么 确认 内 部 产品 属性 (如 环 路 复杂 度 ) 与 外 部 属性 (如 可 维护 性 ) 之 间 的 关系 是 
困难 的 ? 

24.9 假设 你 在 软件 产品 公司 工作 ， 你 的 经 理 已 阅读 关于 软件 分 析 的 文章 ， 她 要 求 你 在 这 方 
面 做 一 些 研究 。 调 查 有 关 分 析 的 文献 ， 摆 写 一 份 简短 的 报告 ， 总 结 软件 分 析 中 的 工作 
以 及 引入 分 析 时 需要 考虑 的 问题 。 

24.10 有 个 同事 是 很 棒 的 程序 员 ， 编 写 的 软件 错误 数 很 少 ， 但 她 一 贯 忽视 组 织 的 质量 标准 。 
组 织 的 管理 者 该 怎样 对 竺 这 种 行为 ? 
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配置 管理 





目标 
本 章 的 目标 是 介绍 软件 配置 管理 过 程 和 工具 。 阅 读 完 本 章 后 ， 你 将 : 
© 了 解 版 本 控制 系统 所 应 该 提供 的 基本 功能 ， 以 及 这 些 功能 分 别 在 集中 式 系统 与 分 布 
式 系统 上 是 如 何 实现 的 ; 

© 了 解 系统 构建 的 挑战 ， 以 及 持续 集成 和 系统 构建 的 好 处 ; 

e 了 解 软 件 变更 管理 的 重要 性 ， 以 及 变更 管理 过 程 中 的 基本 活动 ; 

© 了 解 软件 发 布 管理 的 基础 ， 以 及 它 与 版 本 管理 的 区 别 。 

在 开发 和 使 用 过 程 中 软件 系统 常常 会 发 生变 更 。 开 发 者 必须 发 现 错误 并 加 以 修正 ; 系统 
需求 变化 后 ， 开 发 者 需要 在 新 版 本 中 实现 这 些 变 化 。 有 了 新 版 本 的 硬件 和 系统 平台 之 后 ， 开 
发 者 需要 使 自己 的 系统 与 之 兼容 ; 竞争 对 手 在 他 们 的 系统 中 引入 新 的 特性 时 ， 开 发 者 也 要 做 
出 相应 的 调整 。 当 软件 发 生变 更 时 ， 一 个 新 的 版 本 就 产生 了 。 因 此 ， 大 多 数 系统 都 有 一 系列 
的 版 本 ， 每 一 个 版 本 都 需要 进行 维护 和 管理 。 

配置 管理 (Configuration Management, CM) 与 管理 变更 的 软件 系统 的 政策 、 过 程 和 工具 
有 关 (Aiello and Sachs 2011 )。 演 化 中 的 系统 之 所 以 需要 管理 ， 是 因为 系统 在 演化 时 会 产生 许 
多 不 同 的 版 本 ， 这 些 版 本 包含 了 变更 提议 、 故 障 修正 以 及 对 不 同 硬件 和 操作 系统 的 适应 等 诸多 
内 容 。 可 能 有 几 个 版 本 同时 开发 和 使 用 。 这 样 就 需要 跟踪 已 经 实现 的 变更 以 及 这 些 变更 是 怎样 
包含 在 软件 产品 中 的 。 如 果 没 有 有 效 的 配置 管理 规程 ， 就 可 能 浪费 精力 修改 一 个 错误 的 系统 版 
本 ， 或 发 布 一 个 错误 版 本 给 用 户 ， 甚 至 不 知道 特定 系统 或 构件 源 代码 存放 在 什么 地 方 。 

配置 管理 对 个 人 项 目 管理 来 说 非常 有 用 ， 因 为 开发 者 容易 忘记 已 做 过 的 变更 。 对 于 多 个 
开发 者 同时 完成 一 个 软件 系统 的 团队 项 目 来 说 ， 配 置 管理 也 是 必要 的 。 有 时 这 些 开发 者 全 都 
工作 在 同一 个 地 方 ， 但 是 ， 越 来 越 多 开发 团队 的 成 员 分 散在 世界 的 各 个 角落 。 配 置 管理 系统 
的 使 用 确保 了 团队 能 够 访问 正在 开发 的 系统 ， 并 且 能 够 管理 正在 执行 的 变更 。 

一 个 软件 系统 产品 的 配置 管理 包括 4 个 紧密 相关 的 活动 ( 见 图 25-1 )。 





490 PGRN KH EF 


1. 版 本 管理 。 包 括 跟踪 系统 构件 的 多 个 版 本 ， 确 保 由 不 同 开发 者 对 构件 做 出 的 变更 不 会 
相互 干扰 。 

2. 系统 构建 。 系 统 构建 是 一 个 组 装 程序 构件 、 数 据 和 库 的 过 程 ， 这 些 构件 将 被 编译 链接 
成 一 个 可 执行 系统 。 

3. 变更 管理 。 包 括 跟踪 来 自 客户 和 开发 者 的 软件 变更 请 求 ， 计 算 做 出 这 些 变更 的 成 本 并 
估计 其 影响 ,决定 是 否 变 更 、 何 时 完成 变更 。 

4. 发 布 管理 。 包 括 准备 对 外 发 布 的 软件 ， 持 续 跟 踩 已 经 发 布 给 客户 使 用 的 系统 版 本 。 

由 于 要 管理 的 大 量 信息 以 及 配置 项 之 间 的 关系 ， 工 具 支 持 对 于 配置 管理 而 言 是 必 不 可 少 
的 。 配 置 管理 工具 用 于 存储 系统 构件 的 版 本 ， 从 这 些 构件 构建 系统 ， 跟 踪 发 布 给 客户 的 系统 
版 本 ， 以 及 跟踪 变更 提议 。 这 些 工 具 既 包括 简单 工具 来 支持 单一 的 配置 管理 任务 ， 例 如 bug 
追踪 ， 也 包括 复杂 昂 贯 的 集成 工具 来 文 持 所 有 的 配置 管理 活动 。 

敏捷 开发 中 的 构件 和 系统 每 天 要 变更 多 次 ， 如 果 没 有 配置 管理 工具 的 支持 ， 那 么 是 无 法 
进行 敏捷 开发 的 。 构 件 的 最 终 版 本 保存 在 共享 项 目 存 储 库 中 ， 开 发 人 员 将 它们 复制 到 目 己 的 
工作 空间 中 。 他 们 对 代码 进行 更 改 ， 然 后 使 用 系统 构建 工具 在 自己 的 计算 机 上 创建 一 个 新 系 
统 进行 测试 。 一旦 他 们 对 所 做 的 更 改 感到 满意 ， 就 将 修改 后 的 构件 提交 到 项 目 存 储 库 中 。 这 
使 得 修改 的 构件 可 供 其 他 团队 成 员 使 用 。 

软件 产品 或 客户 软件 系统 的 开发 分 为 以 下 3 个 阶段 。 

1. 开发 阶段 ， 开 发 团队 负责 管理 软件 配置 和 加 入 系统 的 新 功能 。 开 发 团队 决定 系统 将 要 
进行 的 变更 。 

2. 系统 测试 阶段 ， 系 统 的 茶 个 版 本 在 内 部 发 布 以 进行 测试 。 这 个 阶段 由 质量 管理 团队 或 
开发 团队 中 的 个 人 或 小 组 负责 。 在 这 个 阶段 ， 没 有 新 的 功能 添加 到 系统 。 这 个 阶段 所 做 的 变 
更 是 进行 缺陷 修复 、 性 能 改进 和 信息 安全 漏洞 修复 。 在 这 个 阶段 ， 可 能 有 一 些 客 户 作 为 B 测 
试 人 员 参 与 进来 。 

3. 发 布 阶段 ， 软 件 发 布 给 客户 使 用 。 发 布 后 ， 客 户 可 以 提交 和 缺陷 报告 和 变更 请 求 。 可 以 
开发 已 发 布 系统 的 新 版 本 来 修复 缺陷 和 漏洞 ， 还 可 以 增加 客户 建议 的 新 功能 。 

对 于 大 型 系统 而 言 ， 从 来 都 不 仅仅 只 有 一 个 系统 的 “工作 ”版 本 ， 在 开发 的 不 同 阶段 会 
有 多 个 版 本 的 系统 。 多 个 团队 可 能 参与 不 同系 统 版 本 的 开发 。 图 25-2 展示 了 正在 开发 的 系 
统 的 如 下 3 个 版 本 的 情况 。 


开发 版 本 预 发 布 版 本 ; 发 布 





图 2$-2 多 版 本 系统 开发 
1. 版 本 1.5 已 经 开始 进行 缺陷 修复 ， 并 且 提 高 第 一 版 发 布 系统 的 性 能 。 它 是 第 二 个 系统 





发 布 版 本 (R1.1 ) 的 基础 。 
2. 版 本 2.4 正 在 进行 测试 ， 以 使 其 成 为 系统 的 2.0 发 布 版 本 。 在 这 个 阶段 没有 添加 新 


3. 版 本 3 是 一 个 开发 系统 ， 为 响应 来 自 于 客户 和 开发 团队 的 变更 请 求 ， 添 加 新 特征 。 这 
将 最 终 作 为 3.0 版 本 发 布 。 

这 些 不 同 的 版 本 既 有 许多 通用 构件 ， 也 有 该 系统 版 本 所 特有 的 构件 或 构件 版 本 。 配 置 管 
理 系统 跟踪 作为 每 个 版 本 一 部 分 的 构件 ， 并 在 系统 构建 时 根据 需要 包含 它们 。 

在 大 型 软件 系统 中 ， 有 时 配置 管理 被 视 为 软件 质量 管理 的 一 部 分 (第 24 章 已 经 讨论 
过 )。 质 量 管理 和 配置 管理 可 能 是 由 同一 个 管理 人 员 负 责 的 。 当 一 个 软件 的 预 发 布 版 本 完成 
后 ， 开 发 人 员 把 软件 交 给 质量 管理 团队 ， 由 他 们 负责 检查 系统 的 质量 是 和 否 合 乎 要 求 (是 否 可 
接受 )。 如 果 符 合 要 求 ， 则 该 系统 变 为 一 个 受 控 的 系统 ， 也 就 意味 着 在 系统 接 下 来 所 有 变更 
实现 之 前 ， 都 必须 经 过 一 致 认可 并 进行 记录 。 

怒 置 管理 的 难题 之 一 是 不 同 的 公司 使 用 不 同 的 术语 称呼 相同 的 概念 。 军 用 软件 系统 可 能 
是 第 一 批 使 用 配置 管理 的 系统 ， 这 些 系统 术语 反映 了 在 硬件 配置 管理 中 使 用 的 过 程 和 术语 。 
商业 系统 的 开发 者 对 军事 过 程 和 术语 不 熟悉 ， 因 此 发 明了 他 们 自己 的 术语 。 敏 捷 方法 也 引入 
了 新 的 术语 ， 目 的 是 区 别 敏捷 方法 和 传统 的 配置 管理 方法 。 图 25-3 给 出 了 一 些 配置 管理 术语 。 


基线 是 组 成 系统 的 构件 版 本 的 集合 。 基 线 是 受 控 的 ,意味 着 基线 中 的 构件 版 
本 是 不 能 改变 的 。 我 们 总 是 可 以 从 它 的 组 成 构件 中 重新 创建 一 个 基线 

从 现存 代码 线 的 一 个 版 本 创建 一 个 新 的 代码 线 。 然 后 新 的 代码 线 和 已 经 存在 
的 代码 线 可 以 独立 开发 


确保 系统 和 构件 的 版 本 得 到 记录 和 维护 的 过 程 。 这 样 变更 就 会 得 到 管理 ， 所 
有 的 构件 版 本 就 能 在 整个 系统 生命 期 中 识别 和 存储 


通过 合并 不 同 代码 线 中 的 单独 版 本 来 创建 软件 构件 的 新 版 本 。 这 些 代 码 线 可 
能 是 由 茶 个 代码 线 先前 存在 的 分 支 所 创建 的 


一 个 私有 的 工作 区 域 ， 在 其 中 可 以 对 软件 进行 修改 而 不 会 影响 其 他 使 用 或 修 
改 该 软件 的 开发 者 


图 25-3 ”配置 管理 术语 


工作 空间 





配置 管理 标准 的 定义 和 使 用 ， 对 于 ISO 9000 和 SEI 的 能 力 成 熟 度 模型 (Bamford and 
Deibler 2003 ; Chrissis, Konrad, and Shrum 2011 ) 的 质量 认证 至 关 重 要 。 企 业 中 的 CM 标 
准 可 以 基于 通用 标准 ， 例 如 IEEE 828-2012， 这 是 一 个 用 于 配置 管理 的 IEEE 标准 。 这 些 标 
准 关注 CM 过 程 和 CM 过 程 中 产生 的 文档 (IEEE 2012 )。 企业 可 以 在 外 部 标准 的 基础 上 经 
过 加 工 剪裁 形成 针对 其 特定 需要 的 更 详细 、 更 适合 的 标准 。 然 而 ， 由 于 需要 大 量 的 文档 化 开 
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销 ， 敏 捷 方 法 很 少 使 用 这 些 标 准 。 


25.1 版 本 管理 


版 本 管理 (Version Management, VM) 是 持续 跟踪 软件 构件 和 使 用 这 些 构件 的 系统 的 不 
同 版 本 的 过 程 。 版 本 管理 也 包括 确保 由 不 同 开发 者 做 出 的 变更 不 会 相互 影响 。 换 名 话说 ， 版 
本 管理 是 管理 代码 线 和 基线 的 过 程 。 

图 25-4 说 明了 代码 线 和 基线 之 间 的 差别 。 代 码 线 就 是 源 代码 的 版 本 序列 ， 一 个 后 期 的 
版 本 是 由 某 个 早期 版 本 演化 而 来 的 。 代 码 线 通 第 应 用 于 系统 构件 ， 以 便 每 个 构件 有 不 同 的 版 
本 。 基 线 是 对 一 个 特定 系统 的 定义 。 因 此 基线 指 的 是 包含 在 系统 中 的 构件 版 本 加 上 所 使 用 的 
库 的 描述 、 配 置 文件 和 其 他 系统 信息 等 。 由 图 25-4 可 以 看 出 ,不同 的 基线 使 用 来 自 各 个 代 
码 线 的 不 同 构 件 版 本 。 图 中 的 阴影 方 框 代 表 了 定义 在 基线 中 的 构件 ， 表 明 实 际 上 引用 了 代码 
线 中 的 构件 。 主 线 是 由 一 个 原始 基线 发 展 而 来 的 系统 版 本 序列 。 


代码 线 (A) 
代码 线 (B) 
一 ~ 功 1. 直 一 也 1. 寺 一 ~ 阳 1.3 
代码 线 (C) 
库 和 外 部 构件 
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图 25-4 ”代码 线 和 基线 


在 实践 中 可 以 使 用 配置 语言 来 刻画 基线 ， 以 便 用 户 定义 一 个 特定 系统 版 本 所 包括 的 构件 。 
精确 地 描述 一 个 构件 版 本 (比如 说 XX.1.2 ) 或 者 仅仅 只 是 描述 构件 标识 符 (X) 都 是 可 行 的 。 若 
只 是 简单 地 在 配置 描述 中 使 用 构件 标识 符 ， 则 意味 着 在 基线 中 应 该 使 用 构件 的 最 近 版 本 。 

基线 很 重要 ， 因 为 开发 者 常常 不 得 不 重建 一 个 系统 的 特定 版 本 。 例 如 ， 一 个 产品 线 需 要 
实例 化 ， 以 便 为 不 同 客户 产生 不 同 的 特定 系统 版 本 。 假 如 客户 报告 了 系统 中 的 错误 ， 那 么 开 
发 者 不 得 不 重建 这 个 版 本 来 修复 错误 。 

版 本 控制 ( Version Control, VC) 系统 识别 、 存 储 和 控制 对 不 同 版 本 构件 的 访问 。 有 两 
种 类 型 的 现代 版 本 控制 系统 。 

1. 集中 式 系 统 ， 其 中 单个 主 存储 库 维护 正在 开发 的 软件 构件 的 所 有 版 本 。Subversion 
(Pilato, Collins-Sussman, and Fitzpatrick 2008 ) 是 一 个 广泛 使 用 的 集中 式 VC 系统 的 例子 。 

2. 分 布 式 系统 ， 多 个 用 于 存储 构件 版 本 的 存储 库 同 时 存在 。Git ( Loeliger and McCul- 
lough 2012 ) 是 一 个 广泛 使 用 的 分 布 式 VC 系统 的 例子 。 

集中 式 VC 系统 和 分 布 式 VC 系统 提供 了 类 似 的 功能 ， 但 以 不 同 的 方式 实现 了 这 一 功 
能 。 这 些 系统 的 主要 特征 包括 以 下 这 些 。 

1. 版 本 和 发 布 版 本 识别 。 构 件 的 托管 版 本 在 提交 给 系统 时 会 分 配 唯一 的 标识 符 。 这 些 标 
识 符 允 许 管理 同一 构件 的 不 同 版 本 ， 而 不 需要 更 改 构件 名 称 。 还 可 以 为 版 本 分 配属 性 ， 其 中 
属性 集合 用 于 唯一 地 标识 每 个 版 本 。 


2. 变更 历史 记录 。VC 系统 记录 并 列 出 所 有 对 构件 做 出 的 变更 。 在 一 些 系统 中 ， 这 些 变 
更 可 能 用 来 选择 一 个 特定 的 系统 版 本 。 我 们 可 以 用 描述 变更 的 关键 词 来 标记 构件 。 然 后 就 可 
以 用 这 些 标 记 来 选择 包括 在 基线 中 的 构件 。 

3. 独立 开发 。 不 同 的 开发 者 可 能 同一 时 间 在 相同 的 构件 上 工作 。 版 本 控制 系统 跟踪 检 出 
用 于 编辑 的 构件 ， 确 保 由 不 同 开发 者 对 构件 做 出 的 变更 不 会 相互 影响 。 

4. 项 目 支 持 。 一 个 版 本 控制 系统 可 能 支持 共享 构件 的 几 个 项 目的 开发 。 可 能 会 需要 检 入 
和 检 出 所 有 与 一 个 项 目 相关 的 文件 ， 而 不 是 一 次 只 能 在 一 个 文件 或 目录 上 工作 。 

5. 存储 管理 。 为 了 减少 只 有 轻微 差异 的 不 同 版 本 所 占 存储 空间 ， 版 本 控制 系统 通常 使 用 
高 效 的 机 制 来 确保 不 存储 同一 文件 的 多 个 副本 。 系 统 只 存储 每 个 版 本 之 间 差 异 的 列表 而 不 是 
每 个 版 本 的 副本 。 通 过 把 这 些 差异 应 用 到 源 版 本 (通常 是 最 近 的 版 本 ) 上 ， 就 能 够 自动 重建 
目标 版 本 。 

大 多 数 的 软件 开发 是 一 个 团队 活动 ， 因 此 经 常会 有 不 同 的 团队 成 员 在 同一 时 间 开 发 同一 
构件 的 情况 。 例 如 ， 假 设 Alice 对 系统 做 出 一 些 变 更 ， 其 中 涉及 构件 A、B 和 C。 与 此 同时 ， 
Bob 需要 变更 构件 X、Y 和 C。 因 此 Alice 和 Bob 都 需要 变更 构件 C。 重 要 的 是 这 些 变更 不 
能 影响 到 彼此 一 一 Bob 的 变更 覆盖 Alice 的 变更 ， 或 者 相反 。 

为 了 使 彼此 之 间 不 相互 干涉 ， 支 持 独立 开发 ， 版 本 控制 系统 使 用 一 个 项 目 存储 库 和 一 个 
私有 工作 空间 的 概念 。 项 目 存储 库 维 护 所 有 构件 的 “ 主 ” 版 本 ， 用 于 为 系统 构建 创建 基线 。 
修改 构件 时 ， 开 发 人 员 将 这 些 构 件 从 存储 库 拷贝 ( 检 出 ，check-out) 到 其 工作 空间 中 并 处 理 
这 些 副 本 。 当 他 们 完成 其 变更 时 ， 将 已 变更 的 构件 再 返回 ( 检 入 ，checked-in) 到 存储 库 中 。 
然而 ， 集 中 式 和 分 布 式 VC 系统 以 不 同 的 方式 支持 共享 构件 的 独立 开发 。 

在 集中 式 系统 中 ， 开 发 人 员 将 构件 或 构件 目录 从 项 目 存 储 库 中 检 出 到 其 私有 工作 空间 ， 
并 在 其 私有 工作 空间 中 对 这 些 副 本 进行 处 理 。 


当 变 更 完成 后 ， 他 们 将 构件 检 入 到 存储 库 中 。 
这 将 创建 一 个 新 的 构件 版 本 并 可 以 共享 。 如 


图 25-5 所 示 。 Alice 
在 这 里 , Alice 检 出 版 本 A1.0、B1.0 和 C1.0。 检 出 


她 在 这 些 版 本 上 王 作 ， 并 创建 了 新 版 本 ALL, 


B1.1 和 C1.1。 她 将 这 些 新 版 本 检 入 到 存储 库 
中 。Bob 检 出 X1.0、Y1.0 和 C1.0。 他 创建 这 ae 


些 构件 的 新 版 本 ， 并 将 其 检 和 到 存储 库 中 。 但 | 

是 ，Alice 已 经 创建 了 一 个 C 的 新 版 本 ， 而 ileal 
Bob 一 直 在 使 用 它 。 因 此 ， 他 的 检 人 入 创建 了 另 ”图 25-5 从 集中 式 版 本 存储 库 中 检 和 或 和 出 
一 个 版 本 C1.2， 以 便 Alice 的 变更 不 会 被 覆盖 。 

如 果 两 个 或 更 多 的 人 同时 在 构件 上 工作 ， 那 么 每 个 人 都 必须 从 存储 库 中 检 出 构件 。 如 果 
构件 已 经 被 检 出 ， 那 么 版 本 控制 系统 会 警告 其 他 想 要 检 出 该 构件 的 用 户 这 个 构件 已 经 被 别人 
检 出 了 。 系 统 还 将 确保 在 已 修改 的 构件 被 检 入 时 ， 给 不 同 的 版 本 分 配 不 同 的 版 本 标识 符 并 分 
开 存 储 。 

诸如 Git 这 样 的 分 布 式 VC 系统 使 用 的 是 另 一 种 方法 。 在 服务 器 上 创建 一 个 “ 主 ” 存 储 
库 来 维护 开发 团队 生产 的 代码 。 开 发 人 员 不 是 简单 地 检 出 他 们 需要 的 文件 ， 而 是 克隆 这 个 项 
目 存 储 库 ， 并 在 他 的 计算 机 上 下 载 和 安装 。 





工作 空间 (Alice ) 工作 空间 (Bob ) 














Bob 
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开发 人 员 在 所 需 的 文件 上 工作 ， 并 在 他 们 自己 计算 机 的 私有 库 上 维护 新 版 本 。 完 成 变更 
后 ， 他 们 “提交 ”这 些 变 更 并 更 新 其 私有 服务 

器 库 。 然 后 ， 他 们 可 以 将 这 些 变 更 “推送 ”到 

项 目 存储 库 ， 或 告诉 集成 管理 者 变更 的 版 本 可 

用 。 他 然后 可 以 将 这 些 文件 “ 拉 入 ”项 目 存储 RIO 





E (参见 图 25-6 ) 。 在 此 示例 中 ，Bob 和 Alice A'S Alice 的 存储 库 
都 克隆 了 项 目 存储 库 并 更 新 了 文件 。 他 们 还 没 
把 它们 推送 回 项 目 存储 库 。 

sameeren 
1 它 为 存储 库 提供 了 备份 机 制 ， 就 算 存储 

库 损坏 ， 也 可 以 继续 工作 ， 并 且 可 以 从 本 地 副 AE 

本 还 原 项 目 存储 库 ; se 
2. 它 人 允许 离线 工作 ， 以 便 开发 人 员 可 以 在 

没有 网 络 连接 的 情况 下 提交 变更 ; 


3. 项 目 文 持 是 默认 的 工作 方式 ， 开 发 人 员 
可 以 在 其 本 地 机 如 上 编译 和 测试 整个 系统 ， 并 Bob 
测试 他 们 所 做 的 变更 。 

分 布 式 版 本 控制 对 于 开源 开发 至 关 重 要 ， 
其 中 多 个 人 可 以 在 同一 个 系统 上 同时 工作 ， 而 
无 须 任 何 中 央 协 调 。 开 源 系统 “管理 者 ”无 法 
知道 何 时 进行 变更 。 在 这 种 情况 下 ， 除 了 维护 
自己 计算 机 上 的 私有 库 ， 开 发 人 员 还 维护 一 
公共 服务 器 库 ， 以 便 他 们 推送 他 们 已 经 变更 的 


Bob 的 存储 库 
图 25-6 “克隆 存储 库 


















A. Alice 的 公共 库 Bob 的 公共 库 


es 2 
oo 私有 库 Bob 的 私有 库 


构件 的 新 版 本 。 然 后 由 开源 系统 “管理 者 ” 决 > ; ; 
fe aN A ME HE A RE. ARM A A, A 
图 25-7 所 示 。 | a 

在 这 个 例子 中 ，Charlie 是 开源 系统 的 集成 图 25-7 开源 开发 


管理 者 。Alice 和 Bob 独立 进行 系统 开发 工作 ， Pre seen > 除了 他 们 的 
私有 库 之 外 ，Alice 和 Bob 都 在 服务 器 上 维护 一 个 公共 库 让 Charlie 访问 。 sie 变更 并 
ee A, eE 
是 可 用 的 (2 )。Charlie 将 这 些 变 更 从 他 们 的 库 中 拉 入 他 目 己 的 私有 库 中 进行 测试 (3 )。 一 
日 他 对 这 些 变 更 感到 满意 ， 他 就 会 更 新 最 终 的 项 目 存 储 库 (4 )。 

相同 构件 独立 开发 的 一 个 后 果 是 可 能 会 出 现代 码 线 分 支 。 可 能 会 有 几 个 独立 的 版 本 序 
列 ， 而 不 是 反映 变更 的 一 个 线性 版 本 序列 ， 如 图 25-8 所 示 。 不 同 的 开发 者 独立 地 在 不 同 的 
源 代码 版 本 上 工作 并 以 不 同 的 方式 做 出 改变 ， 这 在 系统 开发 中 是 很 常见 的 。 通 常 建议 在 系统 
上 工作 时 ， 应 创建 新 的 分 文 ， 以 保证 变更 不 会 意外 打 断 正在 工作 的 系统 。 

在 某 一 阶段 ， 可 能 需要 合并 代码 线 分 文 以 创建 一 个 构件 的 新 版 本 ， 使 其 包括 所 有 已 做 的 
变更 ， 这 也 在 图 25-8 中 有 所 体现 。 图 中 ， 构 件 版 本 2.1.2 和 2.3 合并 创建 了 版 本 2.4。 如 果 变 
更 发 生 在 代码 中 不 同 的 位 置 ， 版 本 控制 系统 会 通过 综合 代码 变更 使 构件 版 本 自动 合并 。 这 是 
添加 新 特性 后 的 正常 操作 模式 。 这 些 代 码 变 更 合并 到 系统 的 主 副本 中 。 然 而 ， 不同 开发 人 员 
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所 实施 的 变更 有 时 会 重合。 这 些 变更 可 能 是 不 相 容 的 ， 并 且 会 相互 干扰 。 在 这 种 情形 下 ， 开 
发 者 必须 检查 出 冲突 ， 并 且 对 构件 进行 修改 以 解决 不 同 版 本 间 的 冲突 问题 。 


代码 线 2.1 
<A lor. hv. | 
Z 2 pm Al) g i 
代码 线 2 | ni | 


代码 线 | 
图 25-8 分支 和 合并 
版 本 控制 系统 最 初 推出 的 时 候 ， 存 储 管理 是 它们 最 重要 的 功能 之 一 。 屠 时候， 磁盘 空 
间 还 很 昂贵 ， 因 此 最 小 化 构件 的 不 同 拷贝 所 使 用 的 磁盘 空间 十 分 重要 。 为 此 ， 这 些 系统 不 是 
保存 每 个 版 本 的 完整 拷贝 ， 而 是 保存 一 个 版 本 之 间 的 差异 ( 增 量 ) 列表 。 通 过 在 一 个 主 版 本 
(通常 是 最 新 的 版 本 ) 基础 上 应 用 这 些 增 量 ， 可 以 重新 创建 一 个 目标 版 本 。 如 图 25-9 所 示 。 


版 本 序列 创建 日 期 





图 25-9 ”使 用 增 量 的 储存 管理 


当 一 个 新 版 本 被 创建 后 ， 系 统 简 单 地 存储 新 版 本 与 用 于 创建 该 新 版 本 的 老 版 本 之 间 的 一 
个 增 量 表示 ( 即 一 个 差异 列表 )。 在 图 25-9 中 ， 带 阴影 的 方 框 表 示 一 个 构件 的 老 版 本 ， 它 们 
是 在 最 新 的 构件 版 本 基础 上 自动 重建 出 来 的 。 增 量 通常 被 保存 为 变更 行 的 列表 ， 通 过 自动 应 
用 这 些 变 更 信息 可 以 从 构件 的 一 个 版 本 创建 男 一 个 版 本 。 由 于 一 个 构件 的 最 新 版 本 通常 都 是 
在 使 用 中 的 版 本 ， 因 此 大 多 数 系统 都 完全 保存 该 版 本 。 于 是 ， 那 些 增 量 就 定义 了 如 何 重建 更 
早 的 系统 版 本 。 | 

基于 增 量 的 存储 管理 方法 的 一 个 问题 是 ， 可 能 需要 很 长 时 间 才 能 应 用 所 有 的 增 量 。 由 于 
磁盘 存储 现在 相对 便宜 ，Git 使 用 了 一 种 蔡 代 且 更 快速 的 方法 。Git 不 使 用 增 量 ， 而 是 对 存储 
的 文件 及 其 相关 的 元 信息 应 用 标准 压缩 算法 。 它 不 存储 重复 的 文件 副本 。 检 索 文 件 时 只 需要 
解压 缩 文 件 ， 而 无 须 应 用 一 系列 操作 。Git 还 使 用 packfiles 的 概念 ， 其 中 多 个 较 小 的 文件 被 
组 合成 一 个 被 索引 的 单个 文件 。 这 减少 了 与 许多 小 文件 相关 联 的 开销 。 在 packfiles 中 使 用 
增 量 可 以 进一步 减 小 其 规模 。 


25.2 ”系统 构建 
系统 构建 是 通过 把 软件 构件 、 外 部 库 、 配 置 文件 和 其 他 信息 编译 和 链接 在 一 起 ， 创 建 一 
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个 完整 、 可 执行 系统 的 过 程 。 必 须 集成 系统 构建 工具 和 版 本 控制 工具 ， 因 为 构建 过 程 从 版 本 
控制 系统 管理 的 存储 库 中 获取 构件 版 本 。 
系统 构建 就 是 将 与 软件 有 关 的 大 量 信 息 和 它 的 运行 环境 装配 起 来 。 因 此 ， 使 用 上 自动 构建 
工具 进行 系统 构建 是 很 有 意义 的 (WA 25-10 )。 注 意 ， 在 构建 中 不 只 是 需要 源 代 码 文件 ， 可 
能 还 必须 将 其 与 外 部 提供 的 库 、 数 据 文件 (比如 错误 消息 的 文件 ) 以 及 定义 目标 安装 的 配置 
文件 相 链接 。 可 能 还 必须 指明 构建 所 要 使 用 的 编译 器 和 其 他 软件 工具 的 版 本 。 理 想 情 况 下 ， 
构建 一 个 完整 的 系统 只 需要 一 个 命令 或 者 轻 点 一 次 鼠标 。 
arm 


源 代码 | 配置 文件 | 
文件 f ed 





















mka | 测试 结果 | 


图 25-10 系统 构建 


系统 集成 和 构建 工具 包括 部 分 或 者 全 部 以 下 特征 : 

1. 构建 脚本 生成 。 构 建 系统 应 该 分 析 待 构建 的 程序 ， 识 别 依赖 的 构件 ， 并 且 自 动 生 成 一 
个 构建 脚本 (配置 文件 )， 系 统 也 应 该 支持 手工 创建 和 编辑 构建 脚本 。 

2. 版 本 控制 系统 集成 。 构 建 系统 应 该 从 版 本 控制 系统 中 检 出 需要 的 构件 版 本 。 

3. 最 小 化 再 编译 。 构 建 系统 应 该 分 析出 哪些 源 代码 需要 进行 再 编译 ， 再 对 需要 的 代码 进 
行 编译 。 

4. 可 执行 系统 创建 。 构 建 系统 应 该 将 编译 后 的 各 个 目标 代码 文件 以 及 其 他 需要 的 文件 
(比如 库 文件 、 配 置 文件 ) 链接 起 来 ， 从 而 创建 可 执行 的 系统 。 

5. 测试 自动 化 。 有 些 构建 系统 能 够 使 用 自动 化 工具 (如 JUnit) 运行 自动 化 测试 ， 这 样 
能 够 检查 构建 是 否 被 变更 所 破坏 。 

6. 报告 。 构 建 系统 应 该 提供 关于 构建 或 者 运行 的 测试 成 功 与 否 的 报告 。 

7. 文档 生成 。 构 建 系统 应 该 能 够 生成 关于 构建 和 系统 帮助 页 面 的 版 本 注释 。 

构建 脚本 是 对 要 构建 的 系统 的 定义 ， 其 中 包含 : 构件 的 信息 ， 构 件 之 间 的 依赖 关系 ， 用 
于 编译 和 链接 系统 的 工具 的 版 本 信息 。 用 来 定义 构建 脚本 的 配置 语言 包括 一 些 结构 ， 这 些 结 
构 描 述 了 构建 系统 中 的 构件 以 及 它们 之 间 的 依赖 关系 。 

构建 是 一 个 复杂 的 过 程 ， 很 容易 出 现 错误 ， 可 能 有 如 下 3 种 不 同 的 系统 平台 ( 见 图 25-11 )。 

1. 开发 系统 ， 包 括 开 发 工具 ， 比 如 编译 器 、 源 码 编 辑 器 等 。 开 发 人 员 将 代码 从 版 本 控制 
系统 下 载 到 私有 工作 空间 ， 之 后 再 做 修改 。 他 们 和 希望 在 自己 的 开发 环境 中 建立 一 个 系统 版 本 
以 便 测 试 ， 然 后 再 提交 做 出 的 修改 到 版 本 控制 系统 。 这 需要 在 私有 工作 空间 使 用 那些 本 地 构 
建 工具 去 处 理 检 出 的 构件 版 本 。 

2. 构建 服务 器 ， 用 于 构建 最 终 的 、 可 执行 的 系统 版 本 。 该 服务 需 维 护 系 统 的 最 终 版 本 。 
所 有 系统 开发 人 员 检 入 代码 到 构建 服务 器 上 的 版 本 控制 系统 进行 系统 构建 。 
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图 25-11 开发 、 构 建 和 目标 平台 


3. 目标 环境 ， 这 是 系统 运行 的 平台 。 这 可 能 是 与 开发 和 构建 系统 所 用 计算 机 相同 类 型 的 
电脑 。 然而， 对 于 实时 和 髋 入 式 系 统 来 说 ， 目 标 环境 相对 于 开发 环境 常常 更 小 、 更 简单 ( 比 
如 手机 )。 对 于 大 型 系统 ， 目 标 环 境 可 能 包含 数据 库 以 及 其 他 应 用 系统 ， 而 这 些 不 能 安装 在 
开发 机 器 上 。 在 这 两 种 情况 下 ， 在 开发 计算 机 或 者 构建 服务 器 上 构建 和 测试 系统 都 是 不 可 
能 的 。 

敏捷 方法 建议 使 用 自动 测试 执行 那些 非常 频繁 的 系统 构建 ， 从 而 发 现 软件 问题 。 频 
繁 构建 可 以 是 持续 集成 过 程 ( 见 图 25-12 ) 的 一 部 分 。 为 了 配合 敏捷 方法 进行 大 量 小 修改 
的 理念 ， 持 续集 成 包括 在 对 源 代 码 做 出 小 的 修改 后 ， 频 繁重 新 构建 主线 。 持 续集 成 的 步骤 


如 下 。 
私有 
RE 
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测试 成 功 
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图 25$-12 ”持续 集成 


1. 将 主线 系统 从 版 本 控制 系统 中 检 出 到 开发 人 员 的 私有 工作 空间 。- 

2. 构建 系统 并 运行 自动 化 测试 以 确保 所 构建 的 系统 能 够 通过 所 有 测试 。 如 果 没 能 通过 ， 
构建 终止 。 这 时 应 该 通知 最 后 检 入 基线 系统 的 开发 人 员 ， 他 负责 修复 这 个 问题 。 

3. 完成 系统 构件 的 变更 。 

4. 在 私有 工作 空间 构建 系统 并 重新 运行 测试 。 如 果 测 试 失败 ， 继 续 编辑 。 

5. 一 旦 系统 通过 测试 ， 将 它 检 入 到 构建 系统 服务 器 ， 但 是 不 会 作为 新 系统 基线 检 入 到 版 
本 控制 系统 。 

6. 在 构建 服务 器 上 构建 系统 并 运行 测试 。 或 者 ， 如 果 使 用 Git， 可 以 从 服务 器 中 将 最 近 
的 变更 拉 人 至 你 的 私有 工作 空间 。 这 样 做 是 因为 在 检 出 系统 后 其 他 人 有 可 能 修改 了 构件 。 如 












测试 失败 
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果 确 实 如 此 ， 检 出 失效 的 构件 并 进行 编辑 ， 使 测试 在 私有 工作 空间 通过 。 

7. 如 果 系 统 在 构建 系统 上 通过 测试 ， 可 将 做 出 的 变更 作为 系统 主线 中 的 一 个 新 基线 。 

像 Jenkins ( Smart 2011 ) 这 样 的 工具 能 够 支持 持续 集成 。 当 开发 人 员 完 成 存储 库 的 更 新 
时 ， 就 能 安装 这 些 工 具 从 而 构建 系统 。 

持续 集成 的 优点 是 ， 它 能 够 发 现 并 且 尽 快 修复 由 不 同 开发 人 员 的 交互 引起 的 问题 。 主 线 
中 最 近 的 系统 是 最 终 的 工作 系统 。 然 而 ， 虽 然 持续 集成 是 一 个 好 想法 ， 但 在 系统 构建 中 实现 
这 个 方法 并 不 总 是 可 行 的 ， 原 因 如 下 。 

1. 如 果 系 统 很 庞大 ， 构 建 和 测试 可 能 要 花费 大 量 时 间 ， 尤 其 是 要 与 其 他 应 用 系统 集成 
时 。 因 此 不 太 可 能 每 天 构建 系统 几 次 。 

2. 如 果 开 发 平台 和 目标 平台 不 相同 ， 就 不 大 可 能 在 开发 人 员 的 私有 工作 空间 中 运行 
系统 测试 。 便 件 、 操 作 系 统 或 者 安装 的 软件 都 可 能 存在 差异 。 因 此 需要 更 多 的 时 间 来 测试 
系统 。 

对 于 大 型 系统 或 者 执行 平台 和 开发 平台 不 相同 的 系统 来 说 ， 持 续集 成 可 能 不 太 实际 。 在 
那些 环境 下 ， 可 以 使 用 每 日 构建 系统 来 支持 频繁 的 系统 构建 。 

1. 开发 机 构 设 定 系 统 构件 的 交付 时 间 (比如 下 午 2 点 )。 如 果 开 发 人 员 有 正在 编写 的 构 
件 的 新 版 本 ， 他 们 必须 在 下 午 2 点 前 提交 。 构 件 可 能 并 不 完整 ， 但 是 应 该 提供 一 些 能 够 测试 
的 基本 功能 。 

2. 通过 编译 和 链接 这 些 构件 构建 系统 的 新 版 本 ， 形 成 完整 的 系统 。 

3. 将 系统 交付 给 测试 小 组 ， 执 行 一 系列 预定 义 的 系统 测试 。 

4. 记录 系统 测试 中 发 现 的 故障 ， 并 交还 给 系统 开发 人 员 。 他 们 在 随后 的 版 本 中 修复 这 些 
故障 。 

频繁 进行 软件 构建 的 好 处 是 ， 更 有 可 能 在 开发 过 程 早期 找到 构件 交互 导致 的 问题 。 频 繁 
构建 鼓励 彻底 的 构件 单元 测试 。 从 心理 学 上 讲 ， 开 发 人 员 都 处 于 不 要 “破坏 构建 ”的 压力 之 
下 ， 即 他 们 都 尽量 避免 检 入 引起 整个 系统 月 汝 的 构件 版 本 。 因 此 他 们 不 愿 提交 未 能 充分 测试 
的 新 的 构件 版 本 。 结 果 是 ， 花 在 系统 测试 发 现 和 处 理 软 件 故 障 上 的 时 间 更 少 ， 

由 于 编译 是 一 个 计算 密集 型 过 程 ,- 支持 系统 构建 的 工具 通常 被 设计 成 使 所 需要 的 编译 量 
最 小 化 。 为 达到 这 一 目的 ， 需 要 检测 是 否 存在 可 用 的 已 编译 版 本 。 如 果 存 在 ， 就 不 需要 重新 
编译 这 个 构件 。 因 此 ， 需 要 有 一 种 方法 来 无 二 义 地 将 构件 的 源 代 码 和 相对 应 的 目标 代码 联系 
起 来 。 

解决 这 个 问题 的 方法 是 : 赋予 存储 源 代码 构件 的 文件 一 个 独一无二 的 签名 ， 对 从 这 个 源 
代码 编译 的 目标 文件 ， 也 赋予 一 个 相关 的 签名 。 签 名 能 够 识别 各 个 源 代码 版 本 ， 当 修改 源 代 
码 后 签名 也 随 之 改变 。 通 过 比较 源 代码 文件 和 目标 代码 文件 的 签名 ， 就 能 够 确定 是 否 使 用 源 
代码 构件 产生 目标 代码 构件 。 

存在 两 类 可 以 使 用 的 签名 ， 如 图 25-13 所 示 。 

1. 修改 时 间 戳 。 源 代码 文件 的 签名 是 文件 修改 的 时 间 和 上 日期。 如果 构 件 的 源 代 码 文件 在 
相关 的 目标 代码 文件 之 后 修改 ， 系 统 就 认为 需要 重新 编译 以 生成 新 的 目标 代码 文件 。 

比如 ， 构 件 Comp.java 和 Comp.class 的 修改 签名 分 别 是 17:03:05:02:14:2014 和 16:58: 
43:02:14:2014。 这 表示 Java 代码 修改 时 间 是 2014 年 2 月 14 日 17 点 3 分 5 秒 ， 编译 版 本 的 
修改 时 间 是 2014 年 2 月 14 日 16 点 5847 43 秒 。 这 种 情况 下 ， 因 为 编译 版 本 的 修改 时 间 早 
于 最 新 的 构件 版 本 ， 系 统 会 自动 重新 编译 Comp.java. 
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图 25-13 ”链接 源 代 码 和 目标 代码 


2. 源 代 码 校 验 和 。 源 代码 文件 的 签名 是 从 文件 中 的 数据 计算 出 的 校 验 和 。 校 验 和 函数 
使 用 源 代码 文件 作为 输入 ， 计 算出 一 个 独一无二 的 值 。 如 果 改 变 源 代码 (即使 是 一 个 字符 )， 
就 将 生成 不 同 的 校 验 和 值 。 这 样 就 能 够 判断 有 着 不 同 的 校 验 和 的 文件 一 定 是 不 相同 的 。 在 编 
译 之 前 将 校 验 和 赋予 源 代码 ， 从 而 唯一 地 标识 源 文 件 。 然 后 构建 系统 将 校 验 和 标签 附加 在 生 
成 的 目标 代码 文件 上 。 如 果 系 统 中 没有 与 源 代码 文件 签名 相同 的 目标 代码 存在 ， 就 需要 重新 
编译 源 代码 。 

由 于 目标 代码 文件 通常 没有 版 本 标识 ， 第 一 种 方法 意味 着 只 有 最 新 编译 的 目标 代码 文件 
保存 在 系统 中 。 目 标 文 件 一 般 通 过 名 字 与 源 代码 文件 联系 起 来 (比如 ， 和 源 代 码 文 件 有 相同 
的 名 字 ， 但 是 加 上 不 同 的 后 级 )。 因 此 ， 源 文件 Comp.java 产生 目标 文件 Comp.class。 因 为 
源 文件 和 目标 文件 通过 名 称 联系 起 来 ,一 般 不 可 能 在 同一 个 目录 同一 时 间 建 立 源 代码 构件 的 
不 同 版 本 。 由 于 编译 右 同 时 生成 目标 文件 ， 所 以 只 有 最 新 的 编译 版 本 可 用 。 

校 验 和 方法 的 优点 是 允许 同时 保留 构件 目标 代码 的 多 个 不 同 版 本 。 签 名 (而 不 是 文件 
名 ) 将 源 代码 和 目标 代码 联系 起 来 。 源 代码 文件 和 目标 代码 文件 有 相同 的 签名 。 因 此 ， 重 新 
编译 构件 的 时 候 ， 不 会 覆盖 目标 代码 ， 而 时 间 截 的 方式 中 通常 会 覆盖 原来 的 代码 。 编 译 会 生 
成 新 的 目标 代码 文件 ， 并 贴 上 源 代 码 的 签名 。 并 行 编译 是 可 以 的 ， 构 件 的 不 同 版 本 可 以 同时 
进行 编译 。 


25.3 ”变更 管理 


变更 对 大 型 软件 系统 而 言 是 一 种 无 法 改变 的 事实 。 在 系统 的 整个 生命 周期 内 组 织 的 需 
要 和 需求 可 能 会 发 生 改变 ,错误 需要 修正 ， 系 统 需 要 适应 环境 的 变化 。 为 了 确保 变更 以 一 
种 可 控 的 方式 应 用 在 系统 中 ， 开 发 者 需要 一 系列 工具 的 支持 和 变更 管理 过 程 。 变 更 管理 的 
目的 是 确保 系统 的 演化 是 一 个 可 控 的 过 程 ， 并 且 最 紧急 和 成 本 效益 最 优 的 变更 拥有 最 高 的 优 
先 权 。 

变更 管理 是 对 所 提议 的 变更 进行 成 本 效益 分 析 ， 根 据 成 本 效益 审批 变更 请 求 ， 并 且 跟 踪 
系统 的 哪些 构件 发 生变 化 的 过 程 。 图 25-14 是 一 个 变更 管理 过 程 的 模型 ， 显 示 了 主要 的 变更 
管理 活动 。 当 软件 交付 给 客户 或 是 在 一 个 组 织 中 部 署 时 ， 变 更 管理 过 程 就 开始 启动 了 。 

有 许多 不 同 的 变更 管理 过 程 ， 实 际 使 用 哪 种 取决 于 软件 是 一 个 定制 化 系统 ， 还 是 一 个 产 
品 线 ， 或 者 是 一 个 成 品 软件 产品 。 企 业 的 规模 也 会 产生 一 定 的 影响 ， 与 那些 合作 客户 是 其 他 
企业 或 政府 机 构 的 大 型 企业 相 比 ， 小 型 企业 会 使 用 不 太 正 式 的 过 程 。 但 是 ， 所 有 的 变更 管理 
过 程 都 应 该 包含 某 种 形式 的 变更 检查 、 成 本 估计 和 审批 。 
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图 25-14 ”变更 管理 过 程 


支持 变更 管理 的 工具 可 能 是 相对 简单 的 问题 或 bug 跟踪 系统 ， 或 者 是 集成 了 用 于 大 规模 
系统 的 配置 管理 包 的 软件 ， 比 如 Rational Clearcase。 任 何人 都 可 以 通过 问题 跟踪 系统 报告 缺 
陷 或 者 对 系统 变更 提出 建议 ， 并 且 可 以 跟踪 开发 团队 是 如 何 回应 这 些 问题 的 。 这 些 系统 不 会 
强加 给 用 户 任何 一 个 过 程 ， 因 此 可 以 在 许多 不 同 的 设置 中 使 用 。 围 绕 着 变更 管理 过 程 的 过 程 
模型 ， 构 建 了 很 多 复杂 的 系统 。 从 最 初 的 客户 提议 到 最 终 变 更 批准 ， 从 变更 提交 到 开发 团队 
处 理 变 更 请 求 ， 这 些 复杂 系统 使 上 述 过 程 变 得 目 动 化 。 


O saner 


敏捷 方法 强调 了 在 变更 优先 权 选 择 过 程 中 客户 参与 的 重要 性 。 客 户 代表 帮助 团队 决 
定 在 下 个 开发 迭代 中 需要 实现 的 变更 。 尽 管 这 对 于 那些 为 单个 客户 开发 的 系统 来 说 是 有 效 
的 ， 但 对 于 那些 没有 真正 的 客户 与 团队 一 起 工作 的 产品 是 有 问题 的 。 在 这 样 的 情况 下 ， 团 
队 需 要 自己 决定 变更 的 优先 权 顺 序 。 


http://software-engineering-book.com/web/agile-changes/ 







当 一 名 利益 相关 者 完成 并 提交 了 一 个 描述 对 系统 的 变更 的 变更 请 求 时 ， 变 更 管理 过 程 
就 开始 了 。 这 可 能 是 一 个 描述 错误 症状 的 错误 报告 ， 也 可 能 是 增加 系统 附加 功能 的 请 求 。 一 
些 企业 将 bug 报告 和 新 需求 分 开 处 理 ， 但 原则 上 它们 都 是 变更 请 求 。 变 更 请 求 可 以 通过 填写 
变更 请 求 表 ( Change Request Form, CRF) 来 提交 。 利 益 相关 者 可 能 是 系统 所 有 者 和 用 户 、 
B 测试 人 员 或 企业 的 市 场 营 销 部 门 。 

电子 变更 请 求 表 记录 了 可 以 供 所 有 参与 变更 管理 的 小 组 分 享 的 信息 。 当 处 理 变 更 请 求 
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时 ， 添 加 到 杰 更 请 求 表 中 的 信息 记录 了 处 理 过 程 的 每 一 阶段 所 做 的 决定 。 因 此 ， 在 任何 阶段 
CRF 代表 变更 请 求 状态 的 一 个 快照 。 除 了 记录 需要 的 变更 之 外 ，CRF 还 要 记录 有 关 变 更 的 
提议 、 变 更 的 估算 成 本 ， 以 及 变更 的 请 求 、 核 准 、 实 现 和 确认 等 日 期 。 另 外 CRE 还 可 能 包 
括 的 一 个 部 分 就 是 开发 人 员 对 如 何 实现 变更 的 概述 。 青 次 强调 ，CREF 的 正式 程度 取决 于 负责 
系统 开发 的 组 织 的 规模 和 类 型 。 

图 25-15 是 在 一 个 大 型 复杂 系统 工程 项 目 中 使 用 的 CRE 的 例子 。 对 于 一 些 更 小 的 项 目 ， 
变更 请 求 也 要 正式 记录 ,但 是 CRF 可 以 关注 于 对 所 要 求 的 变更 的 描述 ， 而 无 须 对 实现 问题 
进行 太 多 的 描述 。 作 为 一 名 系统 开发 者 ， 必 须 决 定 如 何 实 现 变更 以 及 估计 实现 变更 所 需 的 
时 间 。 


变更 请 求 表 


项 目 : SICSA/AppProcessing 编号 : 23/02 

变更 请 求 者 : L Sommervile AHA: 20/07/12 

请 求 的 变更 : 申请 者 的 状态 (拒绝 、 接 受 等 ) 应 该 以 可 视 化 的 方式 显示 在 申请 人 列表 中 。 
变更 分 析 人 : R. Looek 分 析 日 期 : 25/07/12 

受 影响 的 构件 : ApplicantListDisplay, StatusUpdater 

相关 的 构件 : StudentDatabase ; 

变更 评估 : 实现 比较 简单 ， 可 以 根据 状态 改变 显示 颜色 。 需 要 增加 一 个 表 将 状态 和 颜色 关联 起 来 ， 


无 须 修 改 任何 相关 构件 。 

变更 优先 级 : 中 

变更 实现 : 

估计 的 工作 量 : 2 小 时 

到 SGA 应 用 团队 的 日 期 : 28/07/12 CCB 决定 日 期 : 30/07/12 
决定 : 接受 变更 。 变 更 将 在 版 本 1.2 中 实现 。 

变更 实现 者 : 变更 日 期 : 

向 QM 提交 的 日 期 : QM 决定 : 

向 CM 提交 的 日 期 : 

注释 : 





图 25-15 一 个 部 分 完成 的 变更 请 求 表 


变更 请 求 提交 后 ， 需 要 进行 检查 以 确保 请 求 有 效 。 检 查 者 可 以 来 自 于 客户 、 应 用 支持 团 
队 ， 如 果 是 内 部 请 求 ， 检 查 者 可 以 是 开发 团队 的 一 个 成 员 。 在 此 阶段 ， 变 更 请 求 也 可 以 被 驱 
回 。 例 如 ， 如 果 变 更 请 求 是 一 个 错误 报告 ， 这 个 错误 可 能 已 经 报告 和 修复 过 了 。 有 了 时， 用 户 
认为 的 问题 实际 上 是 由 于 对 系统 的 误解 而 提出 的 。 有 时 ， 用 户 请 求 的 一 些 特性 实际 上 已 经 在 
系统 中 实现 了 ,但 他 们 并 不 知道 。 如 果 上 述 任 一 种 情况 出 现 ， 那 么 变更 请 求 就 结束 了 ,并且 
以 结束 的 原因 来 更 新 表格 。 如 果 变 更 请 求 是 有 效 的 ， 那么 就 将 其 记录 为 一 个 需要 后 续 分 析 的 
未 解决 请 求 。 

对 于 有 效 的 变更 请 求 ， 变 更 管理 过 程 的 下 一 个 阶段 就 是 对 变更 进行 评估 和 成 本 估算 。 这 
通常 是 开发 团队 或 者 维护 团队 的 任务 ， 因 为 他 们 能 够 计算 出 完成 变更 所 需 的 成 本 。 变 更 对 系 
统 其 他 部 分 带 来 的 影响 必须 逐一 核查 ， 因 此 开发 者 必须 检查 所 有 因 变 更 而 受到 影响 的 构件 。 
如 果 变 更 意味 着 需要 对 系统 其 他 部 分 做 进一步 的 修改 ， 那 么 这 明显 会 增加 完成 变更 的 成 本 。 
接 下 来 对 所 需要 的 系统 模块 修改 进行 评估 。 最 后 估算 实现 变更 的 成 本 以 及 其 他 系统 构件 可 能 
要 相应 发 生变 更 的 成 本 。 | 

由 以 上 分 析 可 知 ， 应 该 由 一 个 专门 的 小 组 来 决定 软件 变更 是 否 是 划算 的 。 对 于 军用 和 政 
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府 系 统 ， 这 个 小 组 常 被 称 为 变更 控制 委员 会 (CCB)。 工 业 上 可 能 被 称 为 “产品 开发 小 组 ”， 
他 们 负责 决定 一 个 软件 系统 如 何 演化 。 这 个 小 组 应 该 评审 并 批准 所 有 的 变更 请 求 ， 除 非 变更 
只 包括 改正 屏幕 显示 或 网 页 和 文件 中 的 小 错误 ， 和 否则 都 应 该 提交 给 这 个 小 组 ， 由 他 们 来 决定 
是 否 应 该 同意 变更 。 这 些 “ 小 ”的 变更 请 求 ， 应 该 交 给 开发 小 组 立即 实现 。 

变更 控制 委员 会 或 是 产品 开发 小 组 应 从 战略 和 组 织 的 角度 ， 而 不 应 从 技术 角度 去 考察 变 
更 带 来 的 影响 。 由 他 们 来 决定 该 变更 在 经 济 上 是 否 合理 ， 以 及 变更 的 优先 级 。 已 通过 的 变更 
请 求 反 馈 给 开发 团队 ， 驶 回 的 变更 请 求 就 此 结束 而 无 须 采 取 进 一 步行 动 。 在 决定 是 否 同意 变 
更 请 求 时 ， 需 要 考虑 的 重要 因素 有 以 下 这 些 。 

1. 不 做 变更 会 引起 的 后 果 。 当 评估 一 个 变更 请 求 时 ， 必 须 考 虑 如 果 变 更 没有 完成 将 会 发 
生 什么 。 如 果 变 更 和 一 个 已 报告 的 系统 失效 有 关 ， 则 发 生 失 效 的 严重 性 必须 要 考虑 到 。 如 果 
这 个 系统 失效 引起 系统 崩 演 ， 这 是 非常 严重 的 ， 不 修改 可 能 会 影响 系统 的 正常 使 用 。 为 一 方 
面 ， 如 果 失 效 的 后 果 影 响 较 小 ， 比 如 显示 颜色 的 错误 ,那么 并 不 需要 立即 修正 这 个 问题 ， 因 
此 这 个 变更 只 拥有 较 低 的 优先 级 。 

2. 变更 的 收益 。 变 更 是 否 使 系统 的 许多 用 户 受 益 ? 或 者 仅仅 只 令 变 更 的 提议 者 受益 ? 

3. 变更 影响 的 用 户 数 。 如 果 只 有 一 部 分 用 户 受 到 影响 ， 就 给 变更 分 配 一 个 较 低 的 优先 
权 。 事 实 上 ， 如 果 大 多 数 的 系统 用 户 都 将 重新 适应 所 做 的 修改 ， 那 么 实现 变更 可 能 是 不 明 
智 的 。 

4. 变更 的 成 本 。 如 果 变 更 影响 许多 系统 构件 (因此 增加 了 引入 新 错误 的 机 会 )， 并 且 完 
成 变更 需要 花费 大 量 的 时 间 ， 那么 该 变更 可 能 被 驶 回 。 

5. 产品 发 布 周 期 。 如 果 软 件 的 一 个 新 版 本 刚刚 发 布 完 ， 那 么 推迟 变更 直到 计划 发 布下 一 
个 版 本 ,这 样 做 是 有 意义 的 。 

与 针对 特定 客户 开发 的 软件 系统 的 变更 管理 相 比 ， 针 对 软件 产品 (例如 CAD 系统 产品 ) 的 
变更 管理 在 处 理 上 稍 有 不 同 。 对 软件 产品 ， 客 户 并 不 直接 参与 有 关系 统 演化 的 决策 ， 所 以 变更 与 
客户 业务 关系 不 大 。 这 些 产 品 中 的 变更 请 求 来 自 客户 文 持 小 组 、 企 业 市 场 营销 团队 和 开发 团队 目 
身 。 这 些 需 求 可 能 反映 了 来 自 客户 的 建议 和 反馈 ， 或 者 是 针对 苋 争 产品 所 提供 的 特性 的 分 析 。 

客户 支持 小 组 提交 的 变更 请 求 可 能 与 软件 发 布 后 由 客户 发 现 并 报告 的 错误 相关 。 客 户 可 
能 通过 网 页 或 是 电子 邮件 来 报告 缺陷 。 缺 陷 管 理 小 组 确认 缺陷 并 把 它们 写成 正式 的 系统 变更 
请 求 。 市 场 工作 人 员 会 见 客 户 并 调查 竞争 产品 ， 他 们 建议 的 变更 可 能 包括 如 何 更 容易 地 站 新 
客户 及 现 有 客户 推销 系统 的 新 版 本 。 系 统 开发 者 可 能 会 有 一 些 可 以 添加 到 系统 中 的 新 特征 的 
好 想法 。 

图 25-14 显示 了 系统 向 客户 发 布 后 的 变更 请 求 过 程 。 开 发 期 间 ， 当 系统 的 新 版 本 通过 每 
日 (或 更 频繁 的 ) 系统 构建 创建 以 后 ， 就 可 以 采用 不 那么 正式 的 变更 管理 过 程 了 了。 出现 的 问 
题 和 请 求 的 变更 仍然 要 记录 在 问题 跟踪 系统 中 ， 并 在 每 日 的 例会 上 进行 讨论 。 但 是 只 影响 到 
单个 构件 的 变更 ,会 直接 送 到 系统 开发 人 员 手 中 。 他 们 或 者 接受 它们 ， 或 者 论证 为 什么 这 些 
变更 是 不 必要 的 。 但 是 ， 当 变更 影响 到 由 不 同 开发 团队 开发 的 系统 模块 时 ， 还 是 应 该 由 独立 
的 权威 人 士 (例如 系统 架构 师 ) 来 评估 变更 并 决定 这 些 变更 的 优先 权 。 

在 一 些 敏捷 方法 中 ， 客 户 直 接 参与 决定 是 否 实现 变更 。 当 他 们 对 系统 需求 提出 变更 时 ， 
他 们 与 项 目 组 成 员 一 起 评估 变更 产生 的 影响 ,然后 决定 这 个 变更 是 否 应 该 优先 于 为 系统 下 
一 个 增 量 所 规划 的 特征 。 然 而 ， 涉 及 系统 改善 的 变更 就 留 给 系统 编程 人 员 来 决定 了 。 重 构 
是 不 断 改 进 软 件 的 过 程 ， 不 能 将 其 看 成 是 一 项 额外 开销 ， 而 应 该 视 为 开发 过 程 的 一 个 必要 


RISE BEFA 503 


部 分 。 

当 开 发 团队 变更 软件 构件 时 ， 他 们 应 该 维护 每 个 构件 的 变更 记录 ， 有 时 将 此 称 为 构件 的 
派生 历史 (derivation history)。 保 存 派生 历史 的 最 佳 方式 是 将 它 放 在 构件 源 代码 开头 的 标准 
化 注释 部 分 ( 见 图 25-16 )。 这 些 注释 应 该 引用 触发 软件 系统 变更 的 请 求 。 扫 描 所 有 构件 派生 
历史 的 脚本 处 理 这 些 注释 ,之 后 产生 构件 变更 报告 。 对 于 文档 ， 每 个 版 本 中 的 变更 记录 经 常 
放 在 一 个 独立 页 中 ,一般 放 在 文档 的 前 面部 分 ( 见 网 上 第 30 章 )。 


SICSA project (XEP 6087 ) 

/| 

// APP-SYSTEM/AUTH/RBAC/USER_ ROLE 

// 

// Object: currentRole 

// Author: R. Looek 

// Creation date: 13/11/2012 

// 

// © St Andrews University 2012 

/I 

// Modification history 

// Version Modifier Date Change Reason 
J. Jones 11/11/2009 Add header Submitted to CM 





R. Looek 13/11/2009 New field Change req. RO7/02 


Al 25-16 派生 历史 


25.4 发 布 版 本 管理 


系统 的 发 布 版 本 是 分 发 给 客户 的 系统 版 本 。 对 于 大 众 市 场 软件 ， 通 常 定义 两 种 类 型 的 
发 布 版 本 : 一 种 是 主要 发 布 版 本 ， 用 于 交付 重要 的 新 功能 ; 另 一 种 是 小 型 发 布 版 本 ， 用 于 
修补 漏洞 和 修复 用 户 报告 的 问题 。 比 如 ， 本 书 是 在 苹果 Mac 电脑 上 书写 的 ， 操 作 系统 是 OS 
10.9.2。 这 表示 OS 10 的 第 9 次 主要 发 布 的 第 2 次 小 型 发 布 。 从 经 济 上 来 说 ， 主 要 发 布 版 本 
对 于 软件 厂商 非常 重要 ， 因 为 客户 必须 对 此 付款 。 小 型 发 布 版 本 通常 是 免费 分 发 的 。 

系统 的 发 布 版 本 不 仅仅 是 这 个 系统 的 可 执行 代码 ， 还 包括 : 

1. 配置 文件 ， 冠 义 对 于 特定 发 布 版 本 应 该 如 何 配置 ; 

2. 数据 文件 ， 比 如 用 不 同 语 言 书写 的 错误 信息 文件 ， 是 成 功 进行 系统 操作 所 必需 的 ; 

3. 安装 程序 ， 用 来 帮助 在 目标 硬件 上 安装 系统 ; 

4. 电子 和 书面 文档 ， 用 于 系统 说 明 ; 

5. 包 和 和 相关 的 宣传 ， 为 发 布 版 本 所 做 的 工作 。 

对 于 大 众 市 场 产品 ， 准 备 并 分 发 系统 版 本 是 一 个 花费 很 高 的 过 程 。 在 准备 发 布 版 本 的 时 
候 ， 除 了 必须 准备 的 技术 工作 之 外 ， 还 有 广告 、 宣 传 材 料 以 及 到 位 的 市 场 策略 ， 说 服 消费 者 
购买 新 的 系统 版 本 。 必 须 认 真 考 虑 发 布 的 时 间 间 隔 。 如 果 发 布 过 于 频繁 或 者 要 求 便 件 升级 ， 
客户 就 可 能 不 愿意 升级 到 新 版 本 ， 特 别 是 当 他 们 需要 付费 的 时 候 ; 如 有 果 发 布 间隔 时 间 较 长 ， 
会 失掉 市 场 份额 ， 因 为 客户 会 购 头 其 他 的 系统 。 

决定 何 时 发 布 系统 的 一 个 新 版 本 ， 应 该 通盘 考虑 技术 和 组 织 的 各 种 具体 情况 ， 如 图 25-17 
所 示 。 


504 BRIARD K HER 































| 
对 于 大 众 市 场 软件 ， 因 竞争 产品 发 布 新 特性 而 必须 发 布 新 的 系统 版 本 ， 因 为 如 
果 新 产品 不 能 提供 给 已 有 的 客户 的 话 ， 厂 商 就 可 能 面临 市 场 份额 减少 的 后 果 
公司 的 市 场 部 门 可 能 会 承诺 新 的 版 本 在 某 个 特定 日 期 之 后 可 以 使 用 。 由 于 市 场 
的 原因 ， 可 能 必须 在 新 系统 中 包含 新 特性 ， 这 样 才能 说 服 客户 去 更 新 他 们 的 版 本 
当 新 的 操作 系统 版 本 发 布 的 时 候 ， 很 可 能 需要 因此 而 创建 软件 应 用 的 新 版 本 
E 如 果 报 告 的 严重 系统 故障 影响 到 了 用 户 使 用 系统 的 方式 ， 发 布 新 版 本 来 修正 错 
系统 的 技术 质量 | 误 就 很 可 能 是 必要 的 。 一 些 细小 的 系统 故障 可 以 通过 修补 分 布 在 互联 网 上 的 代码 
片段 来 解决 ， 这 种 情况 就 可 以 在 当前 的 版 本 上 进行 
图 25-17 系统 发 布 版 本 计划 的 影响 因素 

发 布 版 本 的 创建 是 创建 包含 系统 发 布 版 本 所 有 构件 的 文件 和 文档 集合 的 过 程 。 这 个 过 程 
包含 几 个 阶段 : 

1. 程序 的 可 执行 代码 及 所 有 相关 数据 文件 都 必须 在 版 本 控制 系统 中 能 够 被 识别 ， 并 标记 
发 布 标识 符 ; 

2. 为 不 同 的 硬件 和 操作 系统 编写 配置 描述 ; 

3. 为 需要 配置 自己 的 系统 的 客户 编写 更 新 指令 ; 

4. 为 安装 程序 编写 脚本 ; 

5. 创建 网 页 来 描述 发 布 版 本 ， 并 链接 至 系统 文档 ; 

6. 最 后 ， 当 所 有 的 信息 都 可 用 ， 必 须 准 备 该 软件 的 可 执行 的 主 映像 并 移交 给 客户 或 销售 网 点 。 

对 于 定制 软件 或 者 软件 产品 线 ， 系 统 发 布 管理 过 程 的 复杂 度 与 系统 用 户 的 数量 相关 。 系 
统 的 特定 发 布 版 本 可 能 会 针对 不 同 的 客户 ， 某 个 客户 可 以 在 不 同 硬件 上 同时 运行 几 种 不 同 的 
系统 版 本 。 当 软件 是 一 个 复杂 系统 之 系统 中 的 一 部 分 时 ， 可 能 需要 创建 各 个 系统 的 若干 不 同 
变 体 。 例 如 ， 在 专门 的 消防 车 辆 中 ， 每 种 类 型 车 辆 都 应 该 配备 适合 其 设备 的 软件 系统 版 本 。 

一 个 软件 企业 可 能 需要 管理 软件 的 数 十 种 甚至 数 百 种 不 同 的 发 布 版 本 。 他 们 的 配置 管理 系 
统 和 过 程 的 设计 必须 能 够 提供 如 下 信息 : 哪 位 客户 使 用 何 种 系统 发 布 版 本 ， 以 及 发 布 版 本 和 系 
统 版 本 的 关系 。 如 果 交 付 的 系统 出 现 问题 ， 必 须 能 够 恢复 该 特定 系统 中 使 用 的 所 有 构件 版 本 。 

因此 ， 一 个 系统 的 发 布 版 本 生成 时 ， 必 须 编 制 文 档 以 保证 将 来 可 以 准确 地 重新 构建 它 。 
这 一 点 对 定制 的 、 生 命 周期 长 的 伦 人 式 系统 尤为 重要 ， 比 如 军事 系统 或 控制 复杂 机 械 的 系 
统 。 这 些 系统 可 能 有 长 达 30 年 的 生命 周期 。 客 户 可 能 很 多 年 都 使 用 一 个 这 样 的 系统 ， 在 距 
离 最 初 发 布 很 长 时 间 之 后 才 对 某 一 特定 的 软件 发 布 版 本 提出 具体 的 变更 需求 。 

为 发 布 版 本 编制 文档 ， 必 须 记录 用 来 产生 可 执行 代码 的 源 代码 构件 的 特定 版 本 。 也 要 保 
存 源 代码 文件 、 相 应 可 执行 代码 以 及 所 有 的 数据 和 配置 文件 的 拷贝 。 幸 运 的 是 ， 这 并 不 意味 
着 旧 的 硬件 总 是 需要 维护 。 旧 的 操作 系统 可 以 运行 在 虚拟 机 上 。 

还 应 该 记录 用 来 构建 这 个 软件 的 操作 系统 的 版 本 、 库 的 版 本 、 编 译 器 的 版 本 和 其 他 工具 
的 版 本 。 这 些 工 具 在 日 后 构建 完全 相同 的 系统 时 用 得 上 。 因 此 ,平台 软件 和 用 来 创建 系统 的 
工具 以 及 目标 系统 的 源 代码 都 要 在 版 本 控制 系统 中 留 有 备份 。 

在 计划 新 系统 发 布 版 本 安装 的 时 候 ， 不 能 想当然 地 认为 客户 总 是 会 安装 新 的 系统 版 本 。 
一 些 系统 用 户 可 能 满足 于 已 有 的 系统 版 本 ， 也 许 他 们 认为 新 版 本 不 值得 为 之 付费 。 因 此 系统 
的 新 版 本 不 能 依靠 以 前 的 版 本 的 安装 。 为 曾 明 该 问题 我 们 分 析 下 面 的 情景 : 
1. 系统 的 发 布 版 本 1 已 发 布 并 投入 使 用 ; 
2. 发 布 版 本 2 需要 安装 新 的 数据 文件 ， 而 有 些 客 户 不 需要 发 布 版 本 2 所 提供 的 功能 ， 因 
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此 仍然 保留 发 布 版 本 1; 

3. 发 布 版 本 3 需要 发 布 版 本 2 中 已 安装 的 数据 文件 ， 没 有 自己 新 的 数据 文件 。 

软件 发 布 者 不 能 假定 发 布 版 本 3 所 需要 的 文件 都 已 经 在 所 有 站 点 上 安装 了 。 一 些 站 点 可 
能 会 跳 过 版 本 2， 直 接 从 版 本 1 升级 到 版 本 3。 一 些 站 点 可 能 已 经 修改 了 与 版 本 2 相关 的 数 
据 文件 以 反映 本 地 环境 的 特点 。 因 此 -数据 文件 必须 随 着 系统 的 版 本 3 一 起 分 发 和 安装 。 

提供 软件 即 服务 (Saas) 的 一 个 好 处 是 它 避 免 了 所 有 这 些 问 题 。 它 不 仅 简 化 了 发 布 版 本 
管理 ， 还 简化 了 为 用 户 进 行 系 统 安 装 。 软 件 开 发 人 员 负 责 用 新 版 本 替换 当前 的 系统 版 本 ， 这 
样 所 有 客户 就 能 同时 得 到 新 版 本 。 然 而 ， 这 种 方法 要 求 运 行 服务 的 所 有 服务 器 同时 更 新 。 为 
了 支持 服务 器 更 新 ， 专 门 的 发 布 管理 工具 如 Puppet (Loop 2011) 已 经 被 开发 出 来 ， 并 用 于 
将 新 软件 “推送 ”到 服务 需 。 


要 点 


@ 配置 管理 是 对 不 断 演 化 的 软件 系统 所 做 的 管理 。 在 维护 一 个 系统 时 ， 配 置 管理 团队 
的 作用 是 保证 系统 的 变更 是 在 受 控 状 态 下 完成 的 ， 并且 详细 记录 已 经 实现 的 变更 。 
e 主要 配置 管理 过 程 包括 变更 管理 、 版 本 控制 、 系 统 构 建 、 变 更 管理 以 及 发 布 版 本 管 
理 。 存 在 能 够 支持 所 有 这 些 过 程 的 软件 工具 。 
o 版 本 控制 包括 跟踪 软件 构件 由 于 变更 而 产生 的 不 同 版 本 。 
© 系统 构建 是 将 系统 构件 装配 成 一 个 在 目标 计算 机 系统 上 运行 的 可 执行 程序 的 过 程 。 
e 软件 应 该 频繁 地 重新 构建 ， 在 新 版 本 构建 之 后 立即 进行 测试 。 这 样 可 以 更 容易 发 现 
最 后 一 次 构建 引入 的 错误 和 问题 。 
o 变更 控制 包括 评估 来 和 目 系统 客户 和 利益 相关 者 的 变更 提议 ， 并 判断 在 系统 新 版 本 中 
实现 这 些 变更 是 否 符合 成 本 效益 。 
© 系统 的 发 布 版 本 包括 可 执行 代码 、 数 据 文件 、 配 置 文件 和 文档 。 发 布 版 本 管理 包括 决定 
何 时 发 布 一 个 系统 ， 准 备 好 所 有 待 发布 的 信息 ， 并 为 每 一 个 系统 发 布 版 本 编制 好 文档 。 
阅读 推荐 
€ Software Configuration Management Patterns: Effective Teamwork, Practical Integration ) 
是 一 本 相对 较 短 上 且 容 易 阅 读 的 书 ， 在 配置 管理 实践 方面 尤其 针对 敏捷 开发 方法 给 了 很 好 的 具 
IKEN., (S. P. Berczuk 和 B. Appleton, Addison-Wesley, 2003 ) 
《 Agile Configuration Management for Large Organizations 》 这 篇 网 络 文章 描述 可 以 在 敏捷 开 
发 过 程 中 使 用 的 配置 管理 实践 ， 特 别 强调 了 如 何 将 这 些 实践 扩展 到 大 项 目 和 大 公司 。(P Schuh, 
2007 ) http://www.ibm.com/developeworks/rational/library/maro7/schuh/index.html 
《 Configuration Management Best Practices 》 是 一 本 很 不 错 的 书 ， 提 供 了 上 比 本 书 讨论 的 
配置 管理 更 广泛 的 观点 ， 包 括 硬件 配置 管理 。 它 面向 大 型 系统 项 目 ， 并 不 真正 涉及 敏捷 开发 
问题 。(Bob Aiello and Leslie Sachs，Addison-Wesley，2011 ) 
《 A Behind the Scenes Look at Facebook Release Engineering 》 是 一 篇 有 趣 的 文章 ， 涉 
及 在 云端 发 布 大 型 系统 的 新 版 本 问题 ， 在 本 书 中 没有 讨论 这 些 内 容 。 这 里 的 挑战 是 确保 所 
有 服务 咒 同 时 更 新 ， 以 便 用 户 使 用 的 是 系统 的 统一 版 本 而 不 是 系统 的 不 同 版 本 。《〈《P. Ryan, 
arstechnica.com, 2012 ) http://arstechnica.com/business/2012/04/exclusive-a-behind-the- 


scenes-look-at-facebook-release-engineering/ 
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. € Git SVn Comparison. 》 这 篇 文章 比较 了 Git 和 Subversion 版 本 控制 系统 。 ( 2013 ) https://git. 


wiki.kernel.org/index.php/GitSvnComparsion 


网 站 


本 章 的 PPT: http://software-engineering-book.com/slides/chap25/ 
支持 视频 的 链接 : http://software-engineering-book.com/videos/software-management/ 


练习 

25.1 如 果 一 个 公司 没有 制定 有 效 的 配置 管理 政策 和 过 程 ， 列 举 5 种 可 能 出 现 的 问题 。 

25.2 解释 构件 的 每 个 版 本 都 必须 唯一 标识 的 原因 。 评 述 使 用 简单 的 基于 版 本 号 的 版 本 标识 
模式 的 问题 。 

253 设想 如 果 两 个 开发 人 员 同 时 修改 3 个 不 同 构件 ， 当 他 们 想 要 合并 他 们 所 做 出 的 修改 
时 ， 可 能 出 现 什 么 问题 ? 

25.4 开发 软件 的 团队 现在 越 来 越 多 地 在 不 同 地 点 甚至 不 同时 区 工作 。 列 举 一 些 能 够 文 持 分 
布 式 软件 开发 的 版 本 控制 系统 的 特征 。 

25.5 ”列举 在 系统 构建 中 可 能 磁 到 的 问题 。 当 在 主机 上 为 目标 机 胡 构 建 系 统 时 ， 可 能 会 发 生 
哪些 特殊 问题 ? 

25.6 ”关于 系统 构建 ， 为 什么 有 时 有 必要 维护 已 经 过 时 的 计算 机 ? 假设 曾经 在 该 计算 机 上 开 
发 过 大 型 软件 系统 。 

25.7 在 系统 构建 中 一 个 常见 的 问题 是 ， 将 物理 文件 名 包括 在 系统 代码 中 ， 而 文件 名 指出 的 
文件 结构 与 目标 机 器 上 的 文件 结构 不 一 致 。 试 写 出 一 组 程序 设计 者 指南 以 帮助 他 们 如 
免 这 个 问题 ， 列 出 你 能 够 想到 的 其 他 系统 构建 中 容易 发 生 的 问题 。 

25.8 在 变更 管理 过 程 中 使 用 变更 请 求 表 作 为 核心 文件 的 好 处 是 什么 ? 

25.9 列举 支持 变更 管理 过 程 的 工具 应 该 包含 的 6 种 特征 。 


25.10 在 构建 一 个 大 型 软件 系统 的 发 布 版 本 的 过 程 中 ， 工 程 师 必须 考虑 哪 5 个 因素 ? 
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术 


abstract data type (抽象 数据 类 型 )。 一 种 由 操 
作 而 不 是 表示 定义 的 类 型 。 其 表示 是 私有 
的 ， 只 能 由 所 定义 的 操作 访问 。 

acceptance testing (验收 测试 )。 系 统 的 客户 对 
系统 进行 测试 ， 以 确定 其 是 否 足 以 满足 他 们 
的 需要 从 而 接受 供应 商 的 交付 。 

activity chart (活动 图 )。 项 目 管理 者 用 来 显示 必 
须 完成 的 任务 之 间 的 依赖 关系 的 图 。 图 中 显 
示 了 任务 、 完 成 这 些 任 务 的 预期 时 间 以 及 任 
务 间 的 依赖 关系 。 关 键 路 径 是 在 活动 图 中 最 
长 的 路 径 (完成 任务 需要 的 时 间 )。 关 键 路 
径 定义 了 完成 项 目 需 要 的 最 短 时 间 。 有 时 也 
被 称 作 PERT 图 。 

Ada ( Ada 语言 )。 一 种 编程 语言 ， 是 20 世纪 80 
年 代 作 为 一 种 开发 军用 软件 的 标准 语言 为 美 
国 国 防 部 开发 的 。 它 是 在 20 世 纪 70 年 代 
的 编程 语言 研究 基础 上 开发 的 ， 其 中 包括 诸 
如 抽象 数据 类 型 以 及 并 发 支持 这 样 的 语言 
元 素 。 它 仍然 被 用 于 大 型 、 复 杂 军 事 和 航天 
系统 。 

agile manifesto (敏捷 宣言 )。 概 括 了 敏捷 软件 
开发 方法 背后 的 基本 思想 的 一 组 原则 。 

agile methods (敏捷 方法 )。 适 合 于 快速 软件 交 
付 的 软件 开发 方法 。 软 件 按照 增 量 进行 开发 
和 交付 ， 过 程 文档 和 管理 开销 被 最 小 化 。 开 
发 关注 代码 本 身 ， 而 不 是 那些 支持 文档 。 

algorithmic cost modelling (算法 性 成 本 建 模 )。 
一 种 软件 成 本 估算 的 方法 ,使 用 一 个 公式 来 
估算 项 目 成 本 。 公 式 中 的 参数 是 项 目 和 软件 
自身 的 属性 。 

application family (应 用 族 )。 具 有 共同 的 体系 
结构 和 通用 的 功能 的 一 组 软件 应 用 程序 。 这 
些 应 用 可 以 通过 修改 构件 和 程序 参数 来 适应 
特定 客户 的 要 求 。 


语 


表 


application framework (应 用 框架 )。 实 现 一 个 
领域 (例如 用 户 界 面 ) 中 的 众多 应 用 的 公共 
特征 的 一 组 可 复 用 的 具体 类 和 抽象 类 。 应 
用 框架 中 的 类 在 创建 应 用 时 进行 特 化 和 实 
例 化 。 

Application Program lnterface ( API， 应 用 编程 
接口 )。 一 种 接口 ,通常 被 指定 为 一 组 可 以 
访问 一 个 应 用 程序 功能 的 操作 。 这 意味 着 其 
他 程序 能 够 直接 调用 此 功能 ， 而 不 用 通过 用 
户 界 面 访问 这 些 功能 。 

architectural pattern (style) (体系 结构 模式 ( 风 
格 ))。 已 经 在 很 多 不 同 的 软件 系统 中 尝试 和 
验证 过 的 一 种 软件 体系 结构 的 抽象 描述 。 模 
式 中 所 描述 的 信息 包括 该 模式 适合 在 什么 地 
方 使 用 以 及 体系 结构 中 构件 的 组 织 结构 。 

architectural view (体系 结构 视图 )。 从 一 个 特 
定 角 度 对 软件 体系 结构 的 一 种 描述 。 

availability (可 用 性 )。 当 被 请 求 时 一 个 系统 提 
供 服 务 的 就 绪 程 度 。 可 用 性 通常 以 小 数 来 表 
示 ， 因 此 0.999 的 可 用 性 意味 着 系统 在 1000 
个 单位 时 间 中 有 999 个 可 以 提供 服务 。 

B (B 方 法 )。 一 种 软件 开发 的 形式 化 方法 ， 其 基 
本 思想 是 通过 形式 化 的 系统 规格 说 明 的 系统 
化 转换 来 实现 系统 。 

bar chart ( Gantt chart) (条 状 图 ( 甘 特 图 ))。 项 
目 管理 者 用 来 显示 项 目 任务 、 与 这 些 任务 相 
关 的 进度 ， 以 及 将 要 参与 这 些 任务 的 人 的 一 
种 图 。 图 中 显示 了 任务 开始 和 结束 的 日 期 以 
及 按照 时 间 线 的 人 员 分 配 。 

black box testing ( 黑 盒 测试 )。 一 种 测试 方法 ， 
其 中 测试 人 员 无 法 获得 系统 或 其 构件 的 源 代 
码 。 测 试 是 根据 系统 的 规格 说 明 来 设计 的 。 

BPMN ( Business Process Modeling Notation, ， 业 
务 过 程 建 模 符号 )。 定 义 描述 业务 过 程 和 服 
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务 组 合 的 工作 流 的 符号 系统 。 

brownfield software development ( 棕 地 软件 开 
发 )。 面 向 存 在 多 个 现 有 系统 的 环境 的 软件 
开发 ， 所 开发 的 软件 必须 与 这 些 现 有 系统 集 
成 在 一 起 。 

C (C 语言 )。 一 种 编程 语言 ， 最 初 是 开发 用 来 实 
现 Unix 系统 的 。C 语言 是 一 种 相对 底层 的 
系统 实现 语言 ， 允 许 访问 系统 和 硬件， 并 且 可 
以 被 编译 为 高 效 代 码 。C 语言 被 广泛 应 用 于 
底层 系统 编程 以 及 磐 入 式 系 统 开发 。 

C++ (C++ 语言 )。 一 种 面向 对 象 的 编程 语言 ， 
是 C 语言 的 超 集 。 

C# (C# 语言 )。 一 种 由 微软 公司 开发 的 面 问 对 象 
编程 语言 ， 与 C++ 有 很 多 共同 之 处 ， 但 是 
包含 了 人 允许 更 多 的 编译 时 类 型 检查 的 特性 。 

Capability Maturity Model ( CMM, EJI RAJE 
模型 )。 软 件 工 程 研究 所 (The Software Eng- 
ineering Institute) 的 能 力 成 熟 度 模型 ， 用 于 
评估 一 个 机 构 的 软件 开发 成 熟 度 水 平 。 目 前 
已 经 被 CMMI 所 代替 ， 但 仍然 被 广泛 使 用 。 

Computer-Aided Software Engineering (CASE, 
计算 机 辅助 软件 工程 )。20 世纪 80 年 代 提 
出 的 一 种 概念 ， 是 指使 用 自动 化 工具 文 持 开 
发 软件 的 过 程 。 事 实 上 所 有 的 软件 开发 现在 
都 依赖 于 工具 支持 ， 因 此 这 个 概念 不 再 被 广 
泛 使 用 。 

CASE tool (CASE 工具 )。 一 种 软件 工具 ， 例 如 
设计 编辑 需 或 程序 调试 器 ， 用 来 文 持 软件 开 
发 过 程 中 的 活动 。 

CASE workbench (CASE 工作 台 )。 一 组 集成 的 
CASE 工具 ， 一 起 工作 来 支持 主要 的 过 程 活 
动 ， 例 如 软件 设计 或 配置 管理 。 现 在 经 常 被 
称 为 编程 环境 。 

change management (变更 管理 ) 。 对 于 所 提出 
的 软件 系统 变更 进行 记录 、 检 查 、 分 析 、 估 
算 和 实现 的 过 程 。 

class diagram (类 图 )。 一 种 描述 系统 中 的 对 象 
类 以 及 它们 之 间 关 系 的 UML 图 。 

client-server architecture (客户 - 服务 器 体系 结 
构 )。 一 种 分 布 式 系统 的 体系 结构 模型 ， 其 
中 的 系统 功能 通过 服务 需 提 供 的 一 组 服务 来 
实现 。 使 用 服务 的 客户 端 计算 机 可 以 访问 
这 些 服务 。 该 方法 的 一 些 变 体 (例如 三 层 客 
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cloud computing ( 云 计 算 )。 在 互联 网 上 使 用 来 自 
外 部 提供 者 的 服务 器 “ 云 ” 提 供 计算 和 应 用 
服务 。“ 云 ”的 实现 使 用 了 大 量 的 商用 计算 机 
和 虚拟 化 技术 ， 以 便 有 效 地 使 用 这 些 系统 。 

CMMI。 一 种 集成 的 过 程 能 力 成 熟 度 建 模 方法 ， 
建立 在 采用 良好 的 软件 工程 实践 以 及 集成 的 
质量 管理 基础 上 。 它 支持 离散 的 和 连续 的 成 
熟 度 建 模 ， 并 且 集 成 了 系统 和 软件 工程 过 程 
成 熟 度 模型 。CMMI 是 在 最 初 的 能 力 成 熟 度 
模型 (CMM) 基础 上 开发 的 。 

COCOMO ll. Æ Constructive Cost Modeling. 

code of ethics and professional practice (道德 
规范 和 职业 准则 )。 定 义 软件 工程 师 应 当 具 
备 的 道德 规范 和 职业 行为 的 一 系列 指导 方 
针 。 由 主要 的 美国 专业 协会 (ACM 和 IEEE) 
制定 ， 涵 盖 了 8 个 方面 的 道德 规范 行为 ， 包 
插 : 公众 、 客 户 和 雇主 、 产 品 、 评 价 、 管 理 、 
同事 、 职 业 和 自 喘 。 

Common Request Broker Architecture (CORBA, 
通用 对 象 请 求 代理 体系 结构 )。 由 对 象 管理 
组 织 (OMG) 提出 的 一 组 标准 ， 其 中 定义 了 
一 种 分 布 式 的 构件 模型 和 通信 。 在 分 布 式 系 
统 开发 中 有 影响 力 ， 但 现在 已 很 少 使 用 。 

component (构件 )。 软 件 中 可 部 署 的 独立 的 单 
元 ， 完 全 由 一 组 接口 来 定义 和 访问 。 

component model (构件 模型 ) 。 关 于 构件 实现 、 
文档 化 和 部 署 的 一 组 标准 。 其 中 包括 可 能 由 
构件 提供 的 特定 接口 、 构 件 命名 、 构 件 互 操 
作 以 及 构件 的 组 合 。 构 件 模型 为 支持 构件 执 
行 的 中 间 件 提供 了 基础 。 

Component-based Software Engineering 
( CBSE， 基 于 构件 的 软件 工程 )。 通 过 独立 、 
可 部 署 、 符 合 构件 模型 的 软件 构件 的 组 装 来 
开发 软件 的 方法 。 

conceptual design (概念 设计 )。 一 个 复杂 系统 
的 高 层 愿 景 以 及 基本 能 力 描 述 的 开发 。 概 念 
设计 能 够 被 非 系统 工程 师 的 人 所 理解 。 

configurable application system (可 配置 的 应 用 
系统 )。 由 系统 供应 商 所 开发 的 一 种 应 用 系 
统 产品 ， 所 提供 的 功能 可 以 通过 定制 被 用 于 
不 同 的 客户 企业 及 环境 。 

configuration item (配置 项 )。 计 算 机 可 读 的 单 


元 ， 例 如 二 个 文档 或 一 个 源 代码 文件 ， 可 以 
被 修改 并 且 所 做 的 修改 必须 受到 配置 管理 系 
统 的 控制 。 

configuration management (配置 管理 )。 管 理 
对 演化 中 的 软件 产品 的 变更 的 过 程 。 配 置 管 
理 包括 版 本 管理 、 系 统 构建 、 变 更 管理 和 发 
布 版 本 管理 。 

Constructive Cost Modelling (COCOMO, ， 构 造 
性 成 本 建 模 )。 一 系列 算法 性 的 成 本 估算 模 
型 。 最 早 在 20 世纪 80 年 代 早 期 提出 ， 此 后 
几经 修改 和 更 新 以 反映 新 的 技术 以 及 软件 工 
程 实践 的 变化 。COCOMO II 是 COCOMO 
最 新 的 版 本 ， 是 一 种 可 以 免费 获得 的 、 有 开 
源 软 件 工具 支持 的 算法 性 成 本 估算 模型 。 

CORBA, JL Common Request Broker Architecture. 

control metric (控制 量度 )。 一 种 软件 量度 ， 允 
许 管理 人 员 基 于 软件 过 程 或 者 正在 开发 的 软 
件 产品 的 信息 做 出 规划 决策 。 绝 大 多 数控 制 
量度 是 过 程 量度 。 

critical system (关键 性 系统 )。 一 旦 失效 将 会 造 
成 经 济 、 人 员 或 环境 方面 的 重大 损失 的 计算 
机 系统 。 

COTS system (商用 成 品系 统 )。 商 用 成 品系 统 。 
商用 成 品 一 词 现 在 通常 都 用 于 军用 系统 中 。 
见 configurable application system. 

CVS。 一 种 广泛 使 用 的 开源 软件 版 本 管理 工具 。 

data processing system (数据 处 理 系 统 )。 一 种 
用 来 处 理 大 量 的 结构 化 数据 的 系统 。 这 些 系 
统 通常 按照 输入 = 处 理 -输出 的 模式 批量 处 
理 数 据 。 账 务 和 发 票 系统 以 及 付款 系统 都 是 
数据 处 理 系统 的 实例 。 

denial of service attack (拒绝 服务 攻击 )。 对 基 
于 Web 的 软件 系统 的 一 种 攻击 ， 试 图 使 系统 
过 载 从 而 使 之 无 法 向 用 户 提 供 正常 的 服务 。 

dependability (可 依赖 性 )。 系 统 的 可 依赖 性 是 
一 个 综合 考虑 系统 的 安全 性 、 可 靠 性 、 可 用 
性 、 信 息 安 全 性 、 填 性 和 其 他 特性 的 总 体 属 
性 。 一 个 系统 的 可 依赖 性 反映 了 用 户 可 以 信 
赖 该 系统 的 程度 。 

dependability requirement (可 依赖 性 需求 )。 一 
种 用 于 达到 所 要 求 的 系统 可 依赖 性 的 系统 需 
求 。 非 功能 性 的 可 依赖 性 需求 指定 了 可 依赖 
性 属性 值 ; 功能 性 的 可 依赖 性 需求 是 指 避免 、 
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侦 测 、 容 忍 系统 故障 和 失效 或 从 中 恢复 的 功 
能 性 需求 。 

dependability case (可 依赖 性 案例 )。 一 种 用 于 
支撑 系统 开发 者 关于 系统 可 依赖 性 的 声明 的 
结构 化 文档 。 安 全 性 案例 和 信息 安全 案例 是 
可 依赖 性 案例 的 两 种 特殊 类 型 。 

design pattern (设计 模式 )。 对 于 通用 问题 的 一 
个 经 过 成 功 验证 的 解决 方案 ， 以 一 种 可 复 用 
的 方式 描述 了 其 中 的 经 验 和 好 的 实践 。 这 是 
一 种 可 以 以 多 种 不 同方 式 进行 实例 化 的 抽象 
表示 。 

digital learning environment (数字化 学 习 环 境 )。 
用 于 支持 学 习 的 一 组 集成 的 软件 工具 、 教 育 
应 用 和 内 容 。 

distributed system (分 布 式 系统 )。 一 种 软件 系 
统 ， 其 软件 子 系统 或 构件 在 不 同 的 处 理 器 上 
执行 。 

domain (领域 ) 。 软 件 系 统 使 用 所 处 的 特定 问题 
或 业务 范围 。 领 域 的 例子 包括 实时 控制 、 业 
务 数据 处 理 、 电 信和 交换 。 

domain model (领域 模型 )。 领 域 抽象 (例如 政 
策 、 规 程 、 对 象 、 关 系 、 事 件 ) 的 一 种 定 
义 。 它 可 以 作为 某 些 问 题 领域 的 知识 基础 。 

DSDM ( Dynamic System Development Method, 
动态 系统 开发 方法 )。 据 称 是 最 早 的 敏捷 开 
Aes 

embedded system (fk Ast ASC). fe A TERE LE 
设备 当中 的 软件 系统 ， 例 如 在 手机 里 的 软件 
AR. AKASH HELM AS, At 
须 对 环境 中 发 生 的 事件 做 出 及 时 的 啊 应 。 

emergent property (涌现 特性 )。 只 有 当 系 统 的 
所 有 构件 都 已 经 集成 在 一 起 创建 系统 时 才 会 
表现 的 一 种 属性 。 

Enterprise Java Beans(EJB, 企业 Java Beans); 
一 种 基于 Java 的 构件 模型 。 

enterprise resource planning ( ERP ) system 
(企业 资源 规划 系统 )。 这 是 一 种 大 规模 软件 
系统 ， 包 括 支持 业务 企业 运行 的 一 系列 能 力 
并 提供 了 跨越 这 些 能 力 的 信息 共享 手段 。 例 
如 ， 一 个 ERP 系统 可 能 包括 对 供应 链 管理 、 
制造 和 分 发 的 支持 。ERP 系统 需要 按照 使 用 
该 系统 的 企业 的 需求 进行 配置 。 

ethnography (人 种 学 )。 一 种 可 以 用 于 需求 抽取 


. 盒 分 析 的 观察 技术 。 人 种 学 学 者 自己 深入 到 
用 户 环 境 中 并 观察 他 们 的 日 常 工作 习惯 。 对 
于 软件 支持 的 需求 可 以 从 这 些 观 察 中 推导 
出 来 。 

event-based systems (基于 事件 的 系统 )。 一 类 
系统 ， 这 类 系统 的 运行 控制 由 系统 环境 中 生 
成 的 事件 来 决定 。 绝 大 多 数 实时 系统 都 是 基 
于 事件 的 系统 。 

extreme programming (XP， 极 限 编程 )。 一 种 
广泛 使 用 的 敏捷 软件 开发 方法 ， 所 包含 的 实 
践 有 基于 情景 的 需求 、 测 试 先 行 的 开发 和 结 
对 编程 。 

fault avoidance (故障 避免 )。 通 过 某 种 方式 开 
发 软件 以 使 得 故障 不 会 被 引入 软件 中 。 

fault detection (故障 检测 )。 在 故障 导致 系统 失 
效 前 使 用 过 程 和 运行 时 检查 来 发 现 并 移 除 程 
序 中 的 故障 。 

fault tolerance (容错 )。 系 统 在 故障 发 生 后 仍然 
保持 运行 的 能 力 。 

fault-tolerant architectures (容错 体系 结构 )。 
被 设计 用 于 支持 从 软件 故障 中 恢复 的 系统 结 
构 。 这 些 体系 结构 都 是 基于 元 余 和 多 样 性 的 
软件 构件 。 

formal methods (形式 化 方法 )。 一 种 软件 开发 
的 方法 ， 其 中 软件 使 用 形式 化 的 数学 符号 
(例如 断言 和 集合 ) 进行 建 模 。 形 式 化 的 转换 
将 这 些 模 型 转换 为 代码 。 主 要 用 于 关键 性 系 
统 的 规格 说 明和 开发 。 

Gantt chart ( 甘 特 图 )。 见 bar chart. 

Git。 一 种 分 布 式 的 版 本 管理 和 系统 构建 工具 ， 
其 中 开发 者 拥有 项 目 存 储 库 的 完整 拷贝 使 得 
他 们 可 以 同时 工作 。 

GitHub。 一 个 维护 了 大 量 Git 存储 库 的 服务 器 。 
这 些 存储 库 可 以 是 私有 或 公共 的 。 有 许多 开 
源 项 目的 存储 库 都 在 GitHub 上 。 

hazard (危险 )。 系 统 中 的 某 种 可 能 导致 事故 的 
情形 或 状态 。 

host-target development (针对 目标 主机 的 开 
发 )。 一 种 软件 开发 模式 ， 其 中 软件 在 一 台 
独立 的 计算 设备 上 开发 ， 所 开发 的 软件 将 在 
这 人 台 计 算 设 备 上 运行 。 骨 人 式 和 移动 系统 一 
般 采 取 这 种 开发 方法 。 

iLearn system ( iLearn 系统 )。 一 个 支持 校内 学 


习 的 数字 学 习 环 境 。 在 本 书 中 被 用 作 一 个 案 
例 研 究 。 

incremental development ( 增 量 式 开 发 )。 一 种 
软件 开发 方法 ， 其 中 软件 以 增 量 的 方式 进行 
交付 和 部 署 。 

information hiding (信息 隐藏 )。 利 用 编程 语言 
所 提供 的 机 制 隐藏 数据 结构 的 表示 并 控制 对 
这 些 结构 的 外 部 访问 。 

inspection (审查 )。 见 program inspection, 

insulin pump (胰岛 素 泵 )。 一 种 软件 控制 的 医 
疗 设备 ， 对 糖尿 病 患者 注射 控制 剂量 的 胰岛 
素 。 在 本 书 中 被 用 作 一 个 案例 研究 。 

integrated application system (集成 的 应 用 系 
统 )。 通 过 集成 两 个 或 更 多 的 可 配置 应 用 系 
统 或 遗留 系统 创建 的 应 用 系统 。 

interface (接口 )。 与 软件 构件 相关 的 属性 和 操 
作 的 规格 说 明 。 接 口 是 作为 访问 构件 功能 的 
一 种 手段 使 用 的 。 

ISO 9000/9001。 由 国际 标准 化 组 织 (ISO) 定义 
的 一 组 质量 管理 过 程 标准 。ISO 9001 是 最 适 
用 于 软件 开发 的 ISO 标准 。 这 些 标准 可 以 用 
于 认证 一 个 组 织 中 的 质量 管理 过 程 。 

iterative development (和 迭代 式 开 发 )。 一 种 软件 
开发 方法 ， 其 中 规格 说 明 、 设 计 、 编 码 和 测 
试 过 程 是 交替 进行 的 。 

J2EE。 是 Java 2 平台 企业 版 (Java 2 Platform 
Enterprise Edition) 的 缩写 。 这 是 一 个 复杂 
AP le AS, SCRE Java 开发 基于 构 
件 的 Web 应 用 。 它 包括 一 个 面向 Java 构件 、 
API、 服 务 的 构件 模型 。 

Java ( Java 语言 )。 一 种 广泛 使 用 的 面向 对 象 编 
程 语 言 ， 是 由 SUN 公司 (现在 是 Oracle) 以 
平台 独立 性 为 目的 设计 的 。 

language processing system (语言 处 理 系 统 )。 
一 个 将 一 种 语言 翻译 为 男 一 种 语言 的 系统 。 
例如 ， 编 译 器 就 是 一 个 将 程序 源 代码 翻译 成 
目标 代码 的 语言 处 理 系统 。 

legacy system (遗留 系统 )。 一 种 社会 技术 系统 ， 
它 对 于 某 个 组 织 是 有 用 的 或 必需 的 ， 但 却 是 
用 过 时 的 技术 或 方法 开发 的 : 由 于 遗留 系统 
经 常 执行 一 些 关 键 的 业务 功能 ， 因 此 不 得 不 
对 它们 进行 维护 。 

Lehman’s laws ( Lehman 定律 )。 针 对 影响 复杂 


软件 系统 演化 的 因素 的 一 组 假设 。 

maintenance (维护 )。 系 统 投入 运行 后 对 其 进行 
变更 和 修改 的 过 程 。 

mean time to failure ( MTTF, 平均 失效 间隔 时 
间 )。 观 察 到 的 两 次 系统 失效 之 间 的 平 鬼 时 
la], 在 可 靠 性 规格 说 明 中 使 用 。 

Mentcare system ( Mentcare 系统 )。 心 理 健康 
病人 护理 管理 系统 。 这 是 一 个 用 于 记录 针对 
有 心理 健康 问题 的 病人 的 诊断 和 治疗 信息 的 
系统 。 在 本 书 中 被 用 作 一 个 案例 研究 。 

middleware (中 间 件 )。 分 布 式 系统 中 的 基础 软 
件 。 中 间 件 帮助 管理 系统 中 的 分 布 式 实体 以 
及 系统 数据 库 之 间 的 交互 。 中 间 件 的 例子 包 
括 对 象 请 求 代理 以 及 事务 管理 系统 。 

misuse case (滥用 案例 )。 针 对 与 一 个 系统 用 况 
相关 的 可 能 的 系统 攻击 的 描述 。 

model-driven architecture (MDA, ， 模 型 驱动 的 
体系 结构 )。 在 构建 一 组 系统 模型 的 基础 上 
开发 软件 的 方法 ， 这 些 模型 可 以 被 自动 或 半 
自动 化 地 处 理 以 生成 一 个 可 执行 的 系统 。 

model checking (模型 检查 )。 一 种 静态 验证 方 
法 ， 其 中 会 对 系统 的 状态 模型 进行 彻底 的 分 
析 以 发 现 不 可 达 的 状态 。 

model-driven development (MDD ， 模 型 驱动 的 
开发 )。 围 绕 使 用 UML 表达 的 系统 模型 而 不 
是 使 用 编程 语言 表达 的 代码 的 一 种 软件 工程 
方法 。 它 对 MDA 进行 了 扩展 以 考虑 除了 开 
发 之 外 的 其 他 活动 (例如 需求 工程 和 测试 )。 

multi-tenant databases (多 租户 数据 库 )。 一 种 
数据 库 ， 其 中 来 自 多 个 不 同 组 织 的 信息 被 
存放 在 同一 个 数据 库 中 。 用 于 软件 即 服 务 
(SaaS) 的 实现 中 。 

mutual exclusion ( 互 斥 )。 一 种 机 制 ， 保 证 并 
发 进程 保持 对 存储 器 的 控制 直到 更 新 或 访问 
完成 。 

.NET。 一 种 规模 很 大 、 用 于 开发 微软 Windows 
应 用 的 框架 。 其 中 包括 定义 了 Windows 系 
统 中 的 构件 以 及 相关 的 支持 构件 运行 的 中 间 
件 的 标准 的 构件 模型 。 

object class (对 象 类 )。 一 个 对 象 类 定义 了 对 象 
的 属性 和 操作 。 对 象 在 运行 时 通过 实例 化 类 
定义 来 创建 。 在 一 些 面 向 对 象 语言 中 ， 对 象 
类 名 可 以 用 作 类 型 名 。 
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object model (对 象 模 型 )。 一 种 软件 系统 模型 ， 
由 一 组 对 象 类 以 及 这 些 类 之 间 的 关系 组 成 。 
针对 对 象 模型 存在 多 种 不 同 的 观点 ， 例 如 基 
于 状态 的 观点 以 及 基于 序列 的 观点 。 

Object-Oriented (OO) development (面向 对 象 
的 开发 )。 一 种 软件 开发 方法 ， 其 中 系统 中 
的 基本 抽象 是 独立 的 对 象 。 在 规格 说 明 、 设 
计 和 开发 中 采用 同一 种 抽象 。 

object constraint language (OCL， 对 和 象 约束 语 
言 )。 作 为 UML 的 一 部 分 的 一 种 语言 ， 用 于 
定义 适用 于 UML 模型 中 的 对 象 类 和 交互 的 

Ho EH OCL 来 定义 构件 是 模型 驱动 开 
发 的 一 个 基本 部 分 。 

Object Management Group (OMG， 对 象 管理 
组 )。 由 许多 公司 组 成 的 组 织 ， 目 的 是 制定 
面向 对 象 开发 的 标准 。 由 OMG 提出 的 标准 
包括 CORBA、UML 和 MDA 等 。 

open source (开源 )。 一 种 软件 开发 方法 ， 其 中 
系统 的 源 代 码 是 公开 的 ， 鼓 励 外 部 用 户 参 与 
到 系统 的 开发 当中 来 。 

operational profile (运行 概况 )。 一 组 人 工 的 系 
统 输入 ,反映 了 一 个 运行 系统 中 处 理 的 输入 
的 模式 。 用 于 可 靠 性 测试 。 

pair programming (结对 编程 )。 一 种 开发 情形 ， 
其 中 程序 员 两 两 配对 工作 而 不 是 独立 工作 来 
开发 代码 。 它 是 极限 编程 的 一 个 基本 部 分 。 

peer to peer system (对 等 系统 )。 一 种 分 布 式 
系统 ， 其 中 没有 区 分 客户 端 和 服务 器 。 系 统 
中 的 计算 机 可 以 同时 作为 客户 端 和 服务 器 。 
对 等 系统 的 应 用 包括 文件 共享 、 即 时 通信 、 
合作 支持 系统 。 

People Capability Maturity Model (P-CMM, 人 
员 能 力 成 熟 度 模型 ) 。 一 种 过 程 成 熟 度 模型 ， 
反映 了 一 个 机 构 在 管理 机 构 中 的 人 员 的 技 
能 、 培 训 和 经 验方 面 的 有 效 性 。 

plan-driven process (计划 驱动 的 过 程 )。 一 种 
软件 过 程 ， 其 中 所 有 的 过 程 活动 都 是 在 软件 
开发 之 前 计划 好 的 。 

planning game (计划 游戏 )。 一 种 以 对 于 实现 用 
户 故事 所 需 的 时 间 的 估算 为 基础 的 项 目 计 划 
方法 。 用 于 一 些 敏捷 方法 中 。 

predictor metric ( 预测 性 量度 )。 一 种 软件 量度 ， 
用 作对 软件 系统 的 一 些 特性 (例如 可 靠 性 或 


可 维护 性 ) 进行 预测 的 基础 。 
probability of failure on demand (POFOD， 按 
需 失 效 概 率 ) 一 种 基于 一 个 软件 系统 在 请 求 
其 服务 时 失效 的 可 能 性 的 可 靠 性 量度 。 
process improvement (过 程 改进 )。 一 种 对 软件 
开发 过 程 的 改变 ， 目 的 是 使 过 程 更 有 效率 或 


提高 过 程 输出 的 质量 。 例 如 ， 如 有 果 你 的 目标 


是 减少 所 交付 的 软件 中 的 缺陷 数量 ， 那 么 你 
可 以 通过 增加 新 的 确认 活动 来 改进 过 程 。 

process model (过 程 模型 )。 过 程 的 一 种 抽象 表 
示 。 过 程 模型 可 能 从 不 同 的 视角 来 创建 ， 可 
以 显示 一 个 过 程 中 所 包含 的 活动 、 过 程 中 所 
使 用 的 制品 、 适 用 于 该 过 程 的 约束 ， 以 及 参 
与 过 程 的 人 所 扮演 的 角色 。 

process maturity model (过 程 成 熟 度 模型 )。 一 
种 针对 一 个 过 程 包含 好 的 实践 以 及 与 过 程 改 
进 相 适 应 的 度量 、 自 我 反省 与 改进 能 力 的 程 
度 的 模型 。 

program evolution dynamics( 程 序 演化 动力 学 )， 
针对 演化 中 的 软件 系统 的 变化 方式 的 研究 。 
有 人 认为 Lehman 定律 主宰 着 程序 演化 的 动 
为 学 

program generator (FEF Æ War)» MJE AIA 
象 规格 说 明生 成 另 一 个 程序 的 程序 。 生 成 
器 中 包含 着 可 以 在 每 次 生成 活动 中 复 用 的 
知识 。 

program inspection( 程 序 审查 )。 一 种 评审 过 程 ， 
其 中 一 组 审查 人 员 以 发 现 程序 错误 为 目 逐 行 
检查 一 个 程序 。 程 序 审查 经 常 是 由 一 个 常见 
编程 错误 的 检查 表 驱 动 的 。 
Python ( Python 语言 )。 一 种 具有 动态 类 型 编程 
语言 ， 特 别 适合 于 开发 基于 Web 的 系统 。 
quality management (QM， 质量 管理 )。 一 组 过 
程 ， 关 注定 义 如 何 实现 高 质量 的 软件 以 及 开 
发 软件 的 组 织 如 何 知 道 软件 满足 所 需要 的 质 
量 要 求 。 

quality plan (质量 规划 )。 定 义 所 需要 使 用 的 质 
量 过 程 和 规程 的 计划 。 其 中 包括 为 产品 和 过 
程 选 择 并 实例 化 标准 ， 定 义 最 为 重要 的 系统 
质量 属性 。 

rapid application development (RAD, 快速 应 
用 开发 )。 一 种 关注 快速 交付 软件 的 软件 开 
发 方法 。 该 方法 经 稼 使 用 数据 库 编 程 以 及 开 


发 支持 工具 《例如 界面 和 报表 生成 融 )。 

rate of occurrence of failure ( ROCOF， 失 效 发 
生 率 )。 基 于 在 一 个 给 定时 间 段 内 观察 到 的 
系统 失效 次 数 的 可 靠 性 度量 。 

Rational Unified Process ( RUP，Rational 统一 
过 程 )。 一 种 通用 的 软件 过 程 模型 ， 其 中 将 
软件 开发 表示 为 一 个 四 阶段 的 迭代 活动 ， 即 
初始 、 细 化 、 构 造 、 转 换 。 初 始 阶段 为 系统 
建立 一 个 业务 案例 ， 细 化 阶段 定义 体系 结 
构 ， 构 造 阶段 实现 系统 ， 而 转换 阶段 在 客户 
环境 中 部 稼 系统 。 

real time system (实时 系统 )。 一 个 必须 实时 识 
别 并 处 理 外 部 事件 的 系统 。 这 类 系统 的 正确 
性 不 仅 取 决 于 它 做 什么 ， 而 且 还 取决 于 做 这 
些 事 情 的 速度 。 实 时 系统 通常 由 一 组 并 发 的 
进程 组 成 。 

reductionism (还 原 论 )。 一 种 工程 方法 ， 其 基本 
思想 是 将 问题 分 解 为 子 问题 ， 独 立 解决 这 些 
子 问题 ， 然 后 再 通过 集成 这 些 解 决 方案 来 创 
建 针 对 更 大 问题 的 解决 方案 。 

reengineering (再 工程 )。 修 改 软件 系统 以 使 其 
更 容易 理解 和 变更 。 再 工程 经 常 包括 软件 和 
数据 的 重组 和 重 构 、 程 序 简化 和 青 文档 化 。 

reengineering, business process (再 工程 ， 业 
务 过 程 )。 改 变 业 务 过 程 以 使 之 满足 新 的 组 
织 目标 ,例如 降低 成 本 以 及 加 快 执行 速度 。 

refactoring ( 重 构 )。 修 改 一 个 程序 以 改进 它 的 结 
构 和 可 读 性 ， 同 时 不 改变 其 功能 。 

reference architecture (参考 体系 结构 )。 一 种 
通用 、 理 想 的 体系 结构 ， 其 中 包含 系统 可 能 
包括 的 所 有 特征 。 通 过 这 种 方式 可 以 告诉 设 
计 者 某 类 系统 的 通用 结构 是 什么 ， 而 不 仅仅 
是 作为 创建 特定 系统 体系 结构 的 基础 。 

release (发 布 版 本 )。 提 供给 系统 客户 的 一 个 软 
件 系 统 的 版 本 。 

reliability (可 靠 性 )。 系 统 提 供 所 指定 的 服务 的 


时 的 失效 概率 或 者 失效 发 生 率 。 

reliability growth modeling (可 靠 性 增长 建 模 ) 。 
针对 一 个 系统 如 何 随 着 测试 以 及 程序 缺陷 的 
移 除 而 发 生 可 靠 性 的 变化 (改进 ) 进行 模型 
的 开发 。 

requirement, functional (需求 ， 功 能 性 的 )。 对 


一 个 系统 中 应 当 实 现 的 一 些 功能 或 特征 的 一 

requirement，non functional (需求 ， 非 功能 性 
的 )。 适 用 于 一 个 系统 的 一 种 约束 或 期 望 行 
为 的 陈述 。 约 束 可 以 针对 正在 开发 的 软件 的 
涌现 性 特性 或 者 针对 开发 过 程 。 

requirement management (需求 管理 )。 管 理 对 
需求 的 变更 以 保证 所 做 的 变更 是 经 过 适当 的 
分 析 并 在 系统 中 保持 追踪 的 过 程 。 

resilience (韧性 )。 对 于 系统 能 够 在 多 大 程度 上 
在 出 现 破坏 性 事件 (例如 设备 失效 和 网 络 攻 
击 ) 的 情况 下 保持 关键 性 服务 的 持续 性 的 一 
种 判断 。 

REST ( Representational State Transfer)。 是 一 种 
基于 简单 的 使 用 HTTP 协议 通信 的 客户 端 / 
服务 器 交互 的 开发 风格 。REST 基于 可 识别 
的 资源 (具有 URI) 的 理念 。 与 资源 的 所 有 
交互 都 是 基于 HTTP POST、GET、PUT 和 
DELETE 进行 的 。 目 前 被 广泛 使 用 于 实现 低 
开销 的 Web 服务 (RESTful 服务 )。 

revision control systems (修订 控制 系统 )。 见 
version control systems. 

risk (风险 )。 一 种 不 希望 看 到 的 、 会 对 某 些 目标 
的 实现 构成 威胁 的 结果 。 一 个 过 程 风 险 威 胁 
着 过 程 的 进度 或 成 本 ; 一 个 产品 风险 则 意味 
着 系统 的 某 些 需 求 可 能 无 法 满足 。 一 个 安全 
性 风险 是 对 一 个 危害 可 能 导致 一 个 事故 的 可 
能 性 的 度量 。 

risk management (风险 管理 )。 识 别 风险 、 评 佑 
风险 的 严重 性 、 规 划 风 险 应 对 措施 、 监 控 软 
件 和 软件 过 程 中 的 风险 的 过 程 ， 

Ruby (Ruby 语言 )。 一 种 具有 动态 类 型 的 编程 语 
言 ， 特 别 适合 于 Web 应 用 编程 。 

SaaS (软件 即 服务 )。 见 software as a service. 

safety (安全 性 )。 一 个 系统 在 运行 过 程 中 不 出 现 
可 能 导致 人 身 伤害 、 人 员 死 亡 或 系统 环境 破 
坏 的 行为 的 能 力 。 

safety case (安全 案例 )。 一 种 证 明 一 个 系统 是 
安全 的 且 可 以 保障 信息 安全 的 一 套 证 据 和 结 
构 化 的 论据 。 很 多 关键 性 系统 必须 具备 相关 
的 安全 案例 ， 并 由 外 部 监管 者 在 系统 获得 使 
用 许可 之 前 评估 和 审批 。 

SAP. 一 家 德国 公司 ， 开 发 了 一 个 著名 的 且 被 广 
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泛 使 用 的 ERP 系统 。 也 可 以 指 对 该 ERP A 
统 自身 的 命名 。 

scenario (场景 )。 对 于 一 个 系统 的 典型 使 用 方式 
或 者 一 个 用 户 执 行 某 些 活动 的 典型 方式 的 一 
种 描述 。 

scenario testing (场景 测试 )。 一 种 软件 测试 方 
法 ， 其 中 测试 用 例 是 从 系统 使 用 场景 中 派生 
出 来 的 。 

Scrum ( Scrum 方法 )。 一 种 敏捷 开发 方法 ， 基 
于 一 种 被 称 为 冲刺 (sprint) 的 短 开 发 迭代 周 
HH. Serum 可 以 与 其 他 敏捷 方法 (例如 XP) 
一 起 用 作 敏捷 项 目 管理 的 基础 。 

security (信息 安全 性 )。 系 统 保护 自身 免 于 偶然 
的 和 恶意 的 入侵 的 能 力 。 信 息 安 全 性 包括 机 
密 性 、 完 整 性 和 可 用 性 。 

SEI。 是 Software Engineering Institute 的 缩写 。 
是 一 个 软件 工程 研究 和 技术 转化 中 心 ， 其 
创建 的 目的 是 改进 美国 企业 中 的 软件 工程 
标准 。 

sequence diagram (顺序 图 )。 描 述 为 完成 某 些 
操作 所 需要 的 交互 序列 的 图 。 在 UML 中 ， 
顺序 图 可 以 与 用 况 相 关联 。 

server (服务 器 )。 回 其 他 (客户 端 ) 程序 提供 服 
务 的 程序 。 

service (服务 )。 见 Web service. 

socio-technical system (社会 技术 系统 )。 是 一 
种 包含 软 硬 件 构件 、 定 义 了 操作 人 员 需 要 遵 
循 的 运行 过 程 并 在 一 个 组 织 内 部 运行 的 系 
统 。 因 此 ， 这 类 系统 受 组 织 的 政策 、 规 程 及 
结构 的 影响 。 

software analytics (软件 解析 学 )。 对 于 与 软件 
系统 相关 的 动态 数据 和 静态 数据 进行 自动 分 
析 以 发 现 这 些 数据 之 间 的 关系 。 这 些 关 系 可 
以 提供 关于 改进 软件 质量 的 可 能 途径 的 深入 

software architecture (软件 体系 结构 )。 描 述 软 
件 系 统 基本 结构 和 组 织 的 模型 。 

software as a service ( SaaS， 软 件 即 服务 )。 通 
过 Web 浏览 器 远程 访问 而 不 是 在 本 地 计算 
机 上 安装 的 软件 应 用 。 越 来 越 多 地 被 用 于 向 
最 终 用 户 提供 应 用 服务 。 

software life cycle (软件 生命 周期 )。 经 常 作 为 
软件 过 程 的 另 一 个 名 称 。 最 初 被 用 于 指 软 件 
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过 程 中 的 瀑布 模型 。 

software metric (软件 量度 )。 软 件 系统 或 过 程 
的 属性 ， 可 以 用 数字 化 的 方式 表达 并 且 可 以 
被 测量 。 过 程 量度 是 过 程 的 属性 ， 例 如 完成 
任务 的 时 间 ; 产品 量度 是 软件 自身 的 属性 ， 
例如 规模 或 复杂 度 。 

software process (软件 过 程 )。 在 软件 系统 的 开 
发 和 演化 中 所 涉及 的 活动 及 过 程 。 

software product line 软件 产品 线 )。 见 application 
family. 

spiral model (螺旋 模型 )。 一 种 开发 过 程 模型 ， 其 
中 过 程 被 表示 为 一 个 螺旋 ， 螺 旋 的 每 一 圈 包 
含 过 程 的 不 同 阶 段 。 当 从 螺旋 的 一 个 圈 移 动 
到 男 一 个 圈 时 ， 就 重复 了 该 过 程 的 所 有 阶段 。 

state diagram (状态 图 )。 一 种 UML 图 ， 其 中 
描述 了 系统 的 状态 以 及 触发 系统 从 一 个 状态 
转换 到 男 一 个 状态 的 事件 。 

static analysis (静态 分 析 )。 基 于 工具 对 程序 源 
代码 进行 分 析 以 发 现 错误 和 异常 。 异 常 ( 例 
如 对 一 个 中 间 没 有 使 用 过 的 变量 连续 进行 赋 
(E) 可 能 是 编程 错误 的 指示 顺 。 

structured method (结构 化 方法 )。 一 种 软件 设 
计 方 法 ， 定 义 应 当 要 开发 的 系统 模型 、 适 用 
于 这 些 模 型 的 规则 和 指南 ， 以 及 在 进行 设计 
过 程 中 应 遵循 的 过 程 。 

Structured Query Language (SQL， 结 构 化 查 
询 语言 )。 用 于 关系 数据 库 编程 的 一 种 标准 
语言 。 

Subversion, 一 种 广泛 使 用 的 开源 版 本 控制 和 系 
统 构 建 工 具 ， 可 在 很 多 平台 上 使 用 。 

Swiss cheese model (瑞士 奶 酷 模型 ) 。 一 种 针 
对 操作 人 员 错 误 或 网 络 攻击 的 系统 防护 模 
型 ， 考 虑 了 不 同 防护 层 上 的 漏洞 。 

system (系统 )。 一 个 系统 是 一 组 相互 关联 、 不 
同 种 类 的 构件 的 一 种 有 目的 的 组 合 ， 这 些 构 
件 一 起 工作 以 向 系统 所 有 者 和 用 户 提 供 一 组 
服务 。 

system building (系统 构建 )。 编 译 组 成 一 个 系 
统 的 构件 或 单元 并 将 这 些 与 其 他 构件 相 链 接 
以 创建 一 个 可 执行 程序 的 过 程 。 系 统 构 建 通 
常 是 自动 化 的 ， 这 样 需要 重新 编译 的 部 分 可 
以 最 小 化 。 这 种 自动 化 构建 可 以 作为 语言 处 
理 系统 的 内 部 机 制 (如 Java 中 所 做 的 )， 或 


者 使 用 软件 工具 来 支持 系统 构建 。 

systems engineering (系统 工程 )。 关 于 系统 规 
格 说 明 、 系 统 构件 集成 、 确 保 系统 满足 其 需 
求 的 系统 测试 的 过 程 。 系 统 工程 关注 整个 社 
会 技术 系统 一 一 软件 、 硬 件 及 运行 过 程 ， 而 
不 仅 是 系统 软件 。 

system of systems (系统 之 系统 )。 通 过 集成 两 
个 或 更 多 的 现 有 系统 创建 的 系统 。 

system testing (系统 测试 )。 在 交付 给 客户 之 前 
对 一 个 完整 系统 的 测试 。 

test coverage (测试 覆盖 )。 测 试 整个 系统 代码 
的 系统 测试 的 有 效 性 。 一 些 公司 有 相应 的 测 
斌 覆盖 标准 ， 例 如 系统 测试 应 当 保 证 所 有 程 
序 语句 至 少 被 执行 一 次 。 

tesi-driven development (测试 驱动 的 开发 )。 
一 种 软件 开发 方法 ， 其 中 可 执行 的 测试 是 在 
程序 代码 之 前 编写 的 。 每 次 对 程序 进行 修改 
后 都 会 自动 执行 这 一 组 测试 。 

TOGAF。 一 种 由 对 象 管理 组 (OMG) 支持 的 体 
系 结构 框架 ， 其 目的 是 支持 面向 系统 之 系统 
的 企业 体系 结构 的 开发 。 

transaction (事务 )。 一 个 与 计算 机 系统 的 交互 
单元 。 事 务 是 独立 的 和 原子 的 (它们 不 能 被 
分 割 成 更 小 的 单元 )， 并 且 是 恢复 、 一 致 性 
及 并 发 性 的 基本 单元 。 

transaction processing system( 事 务 处 理 系统 )。 
一 种 确保 不 同事 务 的 处 理 过 程 不 会 相互 干扰 
并 且 单 个 事务 的 失效 不 会 影响 到 其 他 事务 及 
系统 数据 的 系统 。 

Unified Modeling Language (UML， 统 一 建 模 
语言 )。 一 种 用 于 面向 对 象 开 发 的 图 形 化 语 
言 ， 其 中 包含 描述 一 个 系统 的 不 同 视图 的 多 
种 类 型 的 系统 模型 。UML 已 经 成 为 面向 对 
象 建 模 的 事实 标准 。 

unit testing (单元 测试 )。 由 软件 开发 者 或 开发 
团队 所 做 的 对 单个 程序 单元 的 测试 。 

use case 《用 况 )。 与 系统 的 一 种 交互 类 型 的 规 
格 说 明 。 

use-case diagram (用 况 图 )。 一 种 用 于 识别 
用 况 并 图 形 化 地 描述 所 涉及 的 用 户 的 UML 
图 。 用 况 图 必须 通过 补充 附加 的 信息 来 完整 
地 描述 用 况 。 

user interface design (用 户 界 面 设计 )。 设 计 系 
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统 用 户 访 问 系统 功能 及 显示 系统 所 产生 的 信 
息 的 方式 的 过 程 。 

user story (用 户 故 事 )。 解 释 一 个 软件 或 系统 如 
何 被 使 用 的 情形 以 及 关于 与 系统 之 间 可 能 发 
生 的 交互 的 一 种 自然 语言 描述 。 

validation (确认 )。 检 查 系统 是 否 满足 了 客户 的 
需要 和 期 望 的 过 程 。 

verification (验证 )。 检 查 一 个 系统 是 否 符合 其 
规格 说 明 的 过 程 。 

version control (版 本 控制 )。 管 理 对 于 一 个 软件 
系统 及 其 构件 的 变更 的 过 程 ， 其 目的 是 了 解 
构件 /系统 的 每 一 个 版 本 中 进行 了 哪些 修改 
以 及 恢复 /重建 该 构件 / 系统 此 前 的 版 本 。 

version control (VC) systems (版 本 控制 系统 )。 
用 于 支持 版 本 控制 过 程 的 软件 工具 。 可 以 基 
于 集中 式 的 或 者 分 布 式 的 存储 库 。 

waterfall model 瀑布 模型 ) 。 一 种 软件 过 程 模型 ， 
包含 规格 说 明 、 设 计 、 实 现 、 测 试 及 维护 这 
几 个 离散 的 开发 阶段 。 原 则 上 ， 一 个 阶段 必 
须 在 进入 下 一 个 阶段 之 前 完成 。 在 实践 中 ， 
阶段 之 间 存 在 显著 的 迭代 。 

Web service ( Web 服务 ) 。 可 以 使 用 标准 协议 通 
过 互联 网 访问 的 独立 的 软件 构件 。 完 全 自 包 
含 ， 没 有 任何 外 部 依赖 。 针 对 Web 服务 开 
发 了 基于 XML 的 标准 ， 例 如 用 于 Web 服务 
信息 交换 的 SOAP (标准 对 象 访问 协议 )、 用 
于 Web 服务 接口 定义 的 WSDL ( Web 服务 


定义 语言 )。 然 而 ，REST 方 法 也 可 以 用 于 
Web 服务 实现 。 

white-box testing (和 白 盒 测试 ) 。 一 种 程序 测试 方 
法 ， 其 中 测试 是 基于 程序 及 其 构件 的 结构 信 
息 的 。 能 够 访问 到 源 代码 是 白 盒 测试 的 基本 
要 求 。 

wicked problem (非常 规 问 题 )。 由 于 问题 的 相 
关 元 素 之 间 交 互 的 复杂 性 而 导致 无 法 完整 刻 
画 或 理解 的 问题 。 | 

wilderness weather system (野外 气象 系统 )。 
一 个 收集 偏远 地 区 气象 状况 数据 的 系统 。 在 
本 书 中 被 用 作案 例 研 究 。 

workflow (工作 流 )。 为 了 完成 某 个 任务 而 对 一 
个 业务 过 程 的 详细 的 定义 。 工 作 流 通常 用 图 
形 化 的 方式 表达 ， 显 示 各 个 过 程 活动 以 及 由 
每 个 活动 产生 和 消费 的 信息 。 

WSDL。 一 种 基于 XML 的 符号 系统 ， 用 于 定义 
Web 服务 的 接口 。 

XML ( Extended Markup Language， 可 扩展 标记 
语言 )。 可 扩展 标记 语言 。XML 是 一 种 支持 
结构 化 数据 交换 的 文本 标记 语言 。 每 个 数据 
域 用 标记 符 界 定 ， 标 记 符 给 出 该 数据 域 的 信 
息 。 如 今 XML 已 经 得 到 了 广泛 应 用 并 且 成 
为 Web 服务 协议 的 基础 。 

XP。 见 Extreme Programming。 

Z (Z 方 法 )。 一 种 基于 模型 的 形式 化 规格 说 明 语 
言 ， 是 由 英国 牛津 大 学 开发 的 。 
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新 ， 影响 了 一 代 又 一 代 的 软件 工程 人 才 ， 对 学 科 建 设 也 产生 了 积极 影响 。 全 书 共 四 个 部 分 ， 完 整 讨论 
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新 版 重要 更 新 


。 全 面 更 新 了 关于 敏捷 软件 工程 的 章节 ， 增 加 了 关于 Scrum 的 新 内 容 。 此 外 还 根据 需要 对 其 他 章节 进 
行 了 更 新 ， 以 反映 敏捷 方法 在 软件 工程 中 日 蔓 增 长 的 应 用 。 

o 增加 了 关于 韧性 工程 、 系 统 工程 、 系 统 之 系统 的 新 章 市 

o 对 于 涉及 可 靠 性 、 安 全 、 信 息 安全 的 三 章 进行 了 重新 组 织 。 

。 在 第 18 章 “面向 服务 的 软件 工程 ”中 增加 了 关于 RESTful 服 务 的 新 内 容 。 
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e 将 关于 面向 方面 的 软件 工程 以 及 过 程 改进 的 章节 移 到 了 本 书 的 配套 网 站 ( software-engineering- 
book.com ) 上 。 


e 在 网 站 上 新 增 了 补充 材料 ， 包 括 一 系列 教学 视频 。 
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